Классификация сетевых атак. Сетевые атаки

Билет 1. Основные понятия и определения информационной безопасности: атаки, уязвимости, политика безопасности, механизмы и сервисы безопасности. Классификация атак. Модели сетевой безопасности и безопасности информационной системы

Уязвимость - слабое место в системе, с использованием которого может быть осуществлена атака .

Риск - вероятность того, что конкретная атака будет осуществлена с использованием конкретной уязвимости . В конечном счете, каждая организация должна принять решение о допустимом для нее уровне риска . Это решение должно найти отражение в политике безопасности, принятой в организации.

Политика безопасности - правила, директивы и практические навыки, которые определяют то, как информационные ценности обрабатываются, защищаются и распространяются в организации и между информационными системами; набор критериев для предоставления сервисов безопасности .

Атака - любое действие, нарушающее безопасность информационной системы. Более формально можно сказать, что атака - это действие или последовательность связанных между собой действий, использующих уязвимости данной информационной системы и приводящих к нарушению политики безопасности.

Механизм безопасности - программное и/или аппаратное средство, которое определяет и/или предотвращает атаку .

Сервис безопасности - сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки . Сервис использует один или более механизмов безопасности.
^

Модель сетевой безопасности.Классификация сетевых атак

Все атаки можно разделить на два класса: пассивные и активные .

I. Пассивная атака

Пассивной называется такая атака , при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика.

Активной называется такая атака , при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак :

^ II. Активная атака

Отказ в обслуживании - DoS-атака (Denial of Service)

Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов. Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.

^ Модель безопасности информационной системы

Существуют и другие относящиеся к безопасности ситуации, которые не соответствуют описанной выше модели сетевой безопасности. Общую модель этих ситуаций можно проиллюстрировать следующим образом:

Данная модель иллюстрирует концепцию безопасности информационной системы, с помощью которой предотвращается нежелательный доступ. Хакер, который пытается осуществить незаконное проникновение в системы, доступные по сети, может просто получать удовольствие от взлома, а может стараться повредить информационную систему и/или внедрить в нее что-нибудь для своих целей. Например, целью хакера может быть получение номеров кредитных карточек, хранящихся в системе.

Другим типом нежелательного доступа является размещение в вычислительной системе чего-либо, что воздействует на прикладные программы и программные утилиты, такие как редакторы, компиляторы и т.п. Таким образом, существует два типа атак :

1. 
   Доступ к информации с целью получения или модификации хранящихся в системе данных.
2. 
   ^ Атака на сервисы, чтобы помешать использовать их.

Вирусы и черви - примеры подобных атак . Такие атаки могут осуществляться как с помощью дискет, так и по сети.

^ Сервисы безопасности , которые предотвращают нежелательный доступ, можно разбить на две категории:

1. 
   Первая категория определяется в терминах сторожевой функции. Эти механизмы включают процедуры входа, основанные, например, на использовании пароля, что позволяет разрешить доступ только авторизованным пользователям. Эти механизмы также включают различные защитные экраны (firewalls), которые предотвращают атаки на различных уровнях стека протоколов TCP/IP, и, в частности, позволяют предупреждать проникновение червей, вирусов, а также предотвращать другие подобные атаки .
2. 
   Вторая линия обороны состоит из различных внутренних мониторов, контролирующих доступ и анализирующих деятельность пользователей.

Одним из основных понятий при обеспечении безопасности информационной системы является понятие авторизации - определение и предоставление прав доступа к конкретным ресурсам и/или объектам.

В основу безопасности информационной системы должны быть положены следующие основные принципы:

1. 
   Безопасность информационной системы должна соответствовать роли и целям организации, в которой данная система установлена.
2. 
   Обеспечение информационной безопасности требует комплексного и целостного подхода.
3. 
   Информационная безопасность должна быть неотъемлемой частью системы управления в данной организации.
4. 
   Информационная безопасность должна быть экономически оправданной.
5. 
   Ответственность за обеспечение безопасности должна быть четко определена.
6. 
   Безопасность информационной системы должна периодически переоцениваться.
7. 
   Большое значение для обеспечения безопасности информационной системы имеют социальные факторы, а также меры административной, организационной и физической безопасности.

По характеру воздействия:

Пассивные;

Активные.

Пассивное воздействие на распределенную вычислительную систему (РВС) представляет собой некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить ее политику безопасности. Отсутствие прямого влияния на работу РВС приводит именно к тому, что пассивное удаленное воздействие (ПУВ) трудно обнаружить. Возможным примером типового ПУВ в РВС служит прослушивание канала связи в сети.

Активное воздействие на РВС -- воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т. Д.), которое нарушает политику безопасности, принятую в ней. Активными воздействиями являются почти все типы удаленных атак. Связано это с тем, что в саму природу наносящего ущерб воздействия включается активное начало. Явное отличие активного воздействия от пассивного -- принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят некоторые изменения. При пассивном же воздействии, не остается совершенно никаких следов (из-за того, что атакующий просмотрит чужое сообщение в системе, в тот же момент не изменится собственно ничего).

По цели воздействия:

нарушение функционирования системы (доступа к системе);

нарушение целостности информационных ресурсов (ИР);

нарушение конфиденциальности ИР.

Этот признак, по которому производится классификация, по сути, есть прямая проекция трех базовых разновидностей угроз -- отказа в обслуживании, раскрытия и нарушения целостности.

Главная цель, которую преследуют практически при любой атаке -- получение несанкционированного доступа к информации. Существуют два принципиальных варианта получения информации: искажение и перехват. Вариант перехвата информации означает получение к ней доступа без возможности ее изменения. Перехват информации приводит, следовательно, к нарушению ее конфиденциальности. Прослушивание канала в сети -- пример перехвата информации. В этом случае имеется нелегитимный доступ к информации без возможных вариантов ее подмены. Очевидно, что нарушение конфиденциальности информации относится к пассивным воздействиям. Возможность подмены информации следует понимать либо как полный контроль над потоком информации между объектами системы, либо возможность передачи различных сообщений от чужого имени. Следовательно, понятно, что подмена информации приводит к нарушению ее целостности. Такое информационное разрушающее воздействие есть характерный пример активного воздействия. Примером же удаленной атаки, предназначенной для нарушения целостности информации, может послужить удаленная атака (УА) «Ложный объект РВС».

По наличию обратной связи с атакуемым объектом:

с обратной связью;

без обратной связи (однонаправленная атака).

Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Следовательно, между атакующим и атакуемым появляется обратная связь, позволяющая первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть удаленной атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные атаки наиболее характерны для РВС. Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА «DoS-атака».

По условию начала осуществления воздействия. Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В РВС существуют три вида таких условных атак:

атака по запросу от атакуемого объекта;

атака по наступлению ожидаемого события на атакуемом объекте;

безусловная атака.

Воздействие со стороны атакующего начнется при условии, что потенциальная цель атаки передаст запрос определенного типа. Такую атаку можно назвать атакой по запросу от атакуемого объекта. Данный тип удаленной атаки наиболее характерен для РВС. Примером подобных запросов в сети Интернет может служить DNS- и ARP-запросы, а в Novell NetWare - Sap-запрос.

Атака по наступлению ожидаемого события на атакуемом объекте. Атакующий непрерывно наблюдает за состоянием ОС удаленной цели атаки и начинает воздействие при возникновении конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки. Примером такого события может быть прерывание сеанса работы пользователя с сервером без выдачи команды LOGOUT в Novell NetWare. Безусловная атака осуществляется немедленно и безотносительно к состоянию ОС и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в данном случае. При нарушении нормальной работоспособности системы преследуются другие цели и получение атакующим незаконного доступа к данным не предполагается. Его целью является вывод из строя ОС на атакуемом объекте и невозможность доступа для остальных объектов системы к ресурсам этого объекта. Примером атаки такого вида может служить «DoS-атака».

По расположению субъекта атаки относительно атакуемого объекта:

межсегментное;

внутрисегментное.

Источник атаки (субъект атаки) -- программа (возможно оператор), ведущая атаку и осуществляющая непосредственное воздействие.

Хост (host) -- компьютер, являющийся элементом сети.

Маршрутизатор (router) -- устройство, которое обеспечивает маршрутизацию пакетов в сети.

Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети, отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора. Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не задействовав при этом маршрутизатор. С точки зрения удаленной атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удаленности» атаки.

Далее будет показано, что практически внутрисегментную атаку осуществить намного проще, чем межсегментную. Межсегментная удаленная атака опаснее внутрисегментной. Это связано с тем, что в случае межсегментной атаки ее объект и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие:

физический;

канальный;

транспортный;

сеансовый;

представительный;

прикладной.

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый сетевой протокол обмена, также как и каждую сетевую программу, удается, так или иначе, спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция дает возможность описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции. УА -- сетевая программа, и логично рассматривать ее с точки зрения проекции на эталонную модель ISO/OSI.

Локальные атаки

Источниками локальных атак являются пользователи и/или программы локальной системы. Для определения наиболее вероятных атак на информационную безопасность, необходимо установить, на каких, не прикрепленных реальными средствами теоретических принципах построена модель безопасности. Например, если одним из ключевых положений является то, что к компьютеру сможет физически приблизиться только уполномоченный человек и при этом не установлено никаких систем физического ограничения физического доступа - значит, наиболее вероятны атаки на физическую безопасность:

Закладки в аппаратном обеспечении;

Доступ на этапе загрузки ОС;

Атаки на средства аутентификации;

Атаки класса стороннее ПО;

Доступ на уровне firmware;

Утилиты локальных атак.

Таблица 9.1.

Наименование протокола	Уровень стека протоколов	Наименование (характеристика) уязвимости	Содержание нарушения безопасности информации
FTP ( File Transfer Protocol ) – протокол передачи файлов по сети		Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) Доступ по умолчанию Наличие двух открытых портов	Возможность перехвата данных
telnet – протокол управления удаленным терминалом	Прикладной, представительный, сеансовый	Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)	Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам
UDP – протокол передачи данных без установления соединения	Транспортный	Отсутствие механизма предотвращения перегрузок буфера	Возможность реализации UDР-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера
ARP – протокол преобразования IP-адреса в физический адрес	Сетевой	Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде)	Возможность перехвата трафика пользователя злоумышленником
RIP – протокол маршрутной информации	Транспортный	Отсутствие аутентификации управляющих сообщений об изменении маршрута	Возможность перенаправления трафика через хост злоумышленника
TCP – протокол управления передачей	Транспортный	Отсутствие механизма проверки корректности заполнения служебных заголовков пакета	Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS – протокол установления соответствия мнемонических имен и сетевых адресов	Прикладной, представительный, сеансовый	Отсутствие средств проверки аутентификации полученных данных от источника	Фальсификация ответа DNS-сервера
IGMP – протокол передачи сообщений о маршрутизации	Сетевой	Отсутствие аутентификации сообщений об изменении параметров маршрута	Зависание систем Win 9x/NT/2000
SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте	Прикладной, представительный, сеансовый		Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP – протокол управления маршрутизаторами в сетях	Прикладной, представительный, сеансовый	Отсутствие поддержки аутентификации заголовков сообщений	Возможность переполнения пропускной способности сети

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

1. характер угрозы .

   Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для "прослушивания" сети. Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS -атака в виде шторма TCP-запросами.

2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
3. условие начала атаки :
   • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
   • по наступлению ожидаемого события на атакуемом объекте.
   • безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
4. наличие обратной связи с атакуемым объектом:
   • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
   • без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
5. расположение нарушителя относительно атакуемой информационной системы : внутрисегментно и межсегментно. Сегмент сети – физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring .
6. уровень эталонной модели ISO/OSI, на котором реализуется угроза : физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer . Sniffer представляет собой прикладную программу, которая использует сетевую карту , работающую в режиме promiscuous mode , так называемый "неразборчивый" режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика . Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде – FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

   Защита от данного вида атаки может заключаться в следующем:

   • Сильная аутентификация , например, использование одноразовых паролей (one- time password ). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer , он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
   • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения "лишней" нагрузки.
   • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может "прослушивать" злоумышленник.
   • Криптографические методы. Самый надежный способ борьбы с работой sniffer . Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec , SSL и SSH .
2. Сканирование сети .Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов , используемых протоколов и т.п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
   • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
   • эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
   • сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

   Хорошей и наиболее распространенной контрмерой является использование IDS , которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

3. Выявление пароля .Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов – простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.).

   Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

   Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

4. IP-spoofing или подмена доверенного объекта сети .Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

   Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

   • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
   • Фильтрация RFC 2827 – данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
   • Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие–то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.
5. Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

   DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь простотой реализации. Организация DOS-атаки требует минимум знаний и умений и строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS ( DDoS - distributed DoS).

   Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

   • Smurf - ping-запросы ICMP . При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети. Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу. Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY. Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.
   • ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.
   • UDP flood - отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).
   • TCP flood - отправка на адрес атакуемого узла множества TCP-пакетов.
   • TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

   Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

   Для реализации DoS-атаки наиболее часто используются следующие программы:

   • Trinoo – представляет собой довольно примитивную программу, которая исторически стала первой для организации DoS-атак единственного типа – UDP-flood. Программы семейства "trinoo" легко обнаруживаются стандартными средствами защиты и не несут угрозы для тех, кто хотя бы чуть-чуть заботиться о своей безопасности.
   • TFN и TFN2K – более серьезное оружие. Позволяют одновременно организовать атаки нескольких типов - Smurf, UDP flood, ICMP flood и TCP SYN flood. Использование этих программ требует от злоумышленника намного более высокой квалификации.
   • Новейшее средство организации DoS-атак - Stacheldracht ("колючая проволока"). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само программное обеспечение встроена функция автомодификации. Шифрование сильно затрудняет обнаружение атакующего.

   Для ослабления угрозы можно воспользоваться следующим:

   • Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
   • Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
   • Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP , который используется только для диагностических целей. Атаки DoS часто используют ICMP .

   Можно выделить несколько разновидностей угроз данного типа:

   • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств. Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.
   • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками. При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д. Пример: направленный шторм(SYN-flooding).
   • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств. При этом изменяются маршрутно-адресные данные. Пример: ICMP Redirect Host или DNS-flood.
   • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

   Атаки DoS нацелены на нарушение доступности информации и не нарушают целостность и конфиденциальность.

6. Атаки на уровне приложений. Атака данного типа заключается в использовании "брешей" в серверном программном обеспечении (HTML, sendmail, FTP). Используя эти уязвимости, злоумышленник получает доступ к компьютеру от имени пользователя приложения. Для атак на уровне приложений часто используются порты, которые могут "проходить" через межсетевой экран.

   Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, нападающий на Web-сервер, может использовать ТСР порт 80. Чтобы Web-сервер мог предоставлять пользователям страницы, порт 80 на межсетевом экране должен быть открыт. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

   Полностью исключить атаки на уровне приложений невозможно, так как прикладные программы с новыми уязвимостями возникают регулярно. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

   • чтение логов (системных и сетевых);
   • отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов, например, http://www.cert.com .
   • использование IDS .

Из самой природы сетевой атаки понятно, что ее появление не контролируется каждым конкретным узлом сети. Мы рассмотрели далеко не все атаки, возможные в сети, – на практике их значительно больше. Тем не менее, защититься от всех типов атак не видится возможным. Наиболее оптимальным подходом к защите периметра сети является устранение уязвимостей, которые используются в большинстве атак злоумышленников. Списки таких уязвимостей публикуются на многих сайтах, занимающихся сбором подобной статистики, например, сайт института SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20 . Рядовой злоумышленник не ищет каких-то оригинальных способов для атаки, а сканирует сеть в поиске известной уязвимости и использует ее.

20.06.05 37.3K

Интернет полностью меняет наш образ жизни: работу, учебу, досуг. Эти изменения будут происходить как в уже известных нам областях (электронная коммерция, доступ к информации в реальном времени, расширение возможностей связи и т.д.), так и в тех сферах, о которых мы пока не имеем представления.

Может наступить такое время, когда корпорация будет производить все свои телефонные звонки через Интернет, причем совершенно бесплатно. В частной жизни возможно появление специальных Web-сайтов, при помощи которых родители смогут в любой момент узнать, как обстоят дела у их детей. Наше общество только начинает осознавать безграничные возможности Интернета.

Введение

Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т.д.

Каждый день хакеры подвергают угрозе эти ресурсы, пытаясь получить к ним доступ при помощи специальных атак, которые постепенно становятся, с одной стороны, более изощренными, а с другой - простыми в исполнении. Этому способствуют два основных фактора.

Во-первых , это повсеместное проникновение Интернета. Сегодня к Сети подключены миллионы устройств, и многие миллионы устройств будут подключены к Интернету в ближайшем будущем, поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает.

Кроме того, широкое распространение Интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа «хакер », «взлом », «hack », «crack » или «phreak » даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования.

Во-вторых , это широчайшее распространение простых в использовании операционных систем и сред разработки. Данный фактор резко снижает уровень необходимых хакеру знаний и навыков. Раньше, чтобы создавать и распространять простые в использовании приложения, хакер должен был обладать хорошими навыками программирования.

Теперь, чтобы получить доступ к хакерскому средству, нужно только знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышью.

Классификация сетевых атак

Сетевые атаки столь же многообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью, другие по силам обычному оператору, даже не предполагающему, к каким последствиям может привести его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TPC/IP. Сеть

Интернет создавалась для связи между государственными учреждениями и университетами с целью оказания помощи учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широкое распространение она получит. В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми.

Через много лет, после множества рекламаций (Request for Comments, RFC ), наконец стали внедряться средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее мы кратко рассмотрим типы атак, которые обычно применяются против сетей IP, и перечислим способы борьбы с ними.

Сниффер пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д .), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют единый пароль для доступа ко всем ресурсам и приложениям.

Если приложение работает в режиме «клиент-сервер », а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии).

Они прекрасно представляют себе, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и потому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в Сеть и к ее ресурсам.

Снизить угрозу сниффинга пакетов можно с помощью следующих средств :

Аутентификация . Сильные средства аутентификации являются важнейшим способом защиты от сниффинга пакетов. Под «сильными » мы понимаем такие методы аутентификации, которые трудно обойти. Примером такой аутентификации являются однократные пароли (One-Time Passwords, OTP ).

ОТР - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке, а во-вторых, по вводимому вами пин-коду. Для аутентификации в системе ОТР также требуются пин-код и ваша личная карточка.

Под «карточкой » (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает данный пароль с помощью сниффера, то эта информация будет бесполезной, поскольку в этот момент пароль уже будет использован и выведен из употребления.

Отметим, что этот способ борьбы со сниффингом эффективен только в случаях перехвата паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

Коммутируемая инфраструктура . Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не устраняет угрозы сниффинга, но заметно снижает ее остроту.

Антиснифферы . Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Антиснифферы измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать лишний трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.

Криптография . Этот самый эффективный способ борьбы со сниффингом пакетов хотя и не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec, который представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К другим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer) .

IP-спуфинг

IP-спуфинг происходит в том случае, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами: хакер может воспользоваться или IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами.

Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений - если главная задача заключается в получении от системы важного файла, то ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью перечисленных ниже меров:

• Контроль доступа . Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети.

  Правда, это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса; если же санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным;

• Фильтрация RFC 2827 . Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным сетевым гражданином). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации.

  Данный тип фильтрации, известный под названием RFC 2827, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24.

Отметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Например , фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом - тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов.

Поэтому внедрение дополнительных методов аутентификации делает подобные атаки бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Отказ в обслуживании

Denial of Service (DoS) , без сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Среди хакеров атаки DoS считаются детской забавой, а их применение вызывает презрительные усмешки, поскольку для организации DoS требуется минимум знаний и умений.

Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите больше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

• TCP SYN Flood;
• Ping of Death;
• Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trinity.

Прекрасным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (Computer Emergency Response Team, CERT), опубликовавшая отличную работу по борьбе с атаками DoS.

Атаки DoS отличаются от атак других типов. Они не нацелены ни на получение доступа к вашей сети, ни на получение из этой сети какой-либо информации, но атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ).

Большинство атак DoS рассчитано не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.

Данный тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если не остановить у провайдера трафик, предназначенный для переполнения вашей сети, то сделать это на входе в сеть вы уже не сможете, поскольку вся полоса пропускания будет занята. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (distributed DoS, DDoS ).

Угроза атак типа DoS может быть снижена тремя способами:

• Функции антиспуфинга . Правильная конфигурация функций антиспуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции как минимум должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
• Функции анти-DoS . Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах способна ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
• Ограничение объема трафика (traffic rate limiting) . Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Типичным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ).

Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакеру предоставляется доступ к ресурсам, то он получает его на правах обычного пользователя, пароль которого был подобран.

Если этот пользователь имеет значительные привилегии доступа, хакер может создать себе «проход » для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: к корпоративной, персональной и к системам Интернета. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, то хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают вышеуказанные методы аутентификации.

При использовании обычных паролей старайтесь придумать такой, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.).

Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать их на бумаге. Чтобы избежать этого, пользователи и администраторы могут использовать ряд последних технологических достижений.

Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные будут надежно защищены приложением.

Для администратора существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack , которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем. Дополнительную информацию можно получить по адресу http://www.l0phtcrack.com/ .

Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Отметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), то это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них - использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа).

Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что хакеры часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

• читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений;
• подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad (http://www.securityfocus.com ).

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов.

Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев.

Кроме того, сканировать порты можно и без предварительного эхо-тестирования - просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство:

1. пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами);
2. кроме системного администрирования, пользуйтесь системами распознавания атак (IDS) - двумя взаимодополняющими друг друга технологиями ID:
   • сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;
   • система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.

В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения.

Самым большим недостатком IDS является их способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Злоупотребление доверием

Собственно говоря, этот тип действий не является в полном смысле слова атакой или штурмом. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети.

В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом любого из них приводит к взлому всех остальных, так как эти серверы доверяют другим системам своей сети.

Другим примером является установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, ни при каких условиях не должны пользоваться абсолютным доверием со стороны защищенных экраном систем.

Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост.

Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний.

Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org .

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

Несанкционированный доступ

Несанкционированный доступ не может быть выделен в отдельный тип атаки, поскольку большинство сетевых атак проводятся именно ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, хакер должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляется сообщение «authorization required to use this resource» («Для пользования этим ресурсом нужна авторизация »).

Если после этого хакер продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола.

В качестве примера можно рассмотреть недопущение хакерского доступа к порту Telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

Вирусы и приложения типа «троянский конь»

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.

Троянский конь - это не программная вставка, а настоящая программа, которая на первый взгляд кажется полезным приложением, а на деле исполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя.

Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Борьба с вирусами и троянскими конями ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и троянских коней и пресекают их распространение.

Получение самой свежей информации о вирусах поможет бороться с ними более эффективно. По мере появления новых вирусов и троянских коней предприятие должно устанавливать новые версии антивирусных средств и приложений.

При написании статьи использованы материалы, предоставленные компанией Cisco Systems.

Хорошо Плохо

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Сетевые атаки можно условно разделить на следующие типы:

• Сканирование портов . Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
• DoS-атаки , или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

  Существуют следующие основные типы DoS-атак:

  • Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
  • Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.
• Сетевые атаки-вторжения . Это сетевые атаки, целью которых является "захват" операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

  Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.

1. На закладке Защита в блоке Защита от сетевых атак снимите флажок .

Вы также можете включить Защиту от сетевых атак в Центре защиты . Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

1. В строке меню нажмите на значок программы.
2. В открывшемся меню выберите пункт Настройки .

   Откроется окно настройки программы.

3. На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
4. Нажмите на кнопку Исключения .

   Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

5. Откройте закладку Заблокированные компьютеры .
6. Если вы уверены, что заблокированный компьютер не представляет угрозы, выберите его IP-адрес в списке и нажмите на кнопку Разблокировать .

   Откроется окно подтверждения.

7. В окне подтверждения выполните одно из следующих действий:
   • Если вы хотите разблокировать компьютер, нажмите на кнопку Разблокировать .

     Kaspersky Internet Security разблокирует IP-адрес.

   • Если вы хотите, чтобы Kaspersky Internet Security никогда не блокировал выбранный IP-адрес, нажмите на кнопку Разблокировать и добавить к исключениям .

     Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

8. Нажмите на кнопку Сохранить , чтобы сохранить изменения.

Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

1. Откройте меню Защита .
2. Выберите пункт Отчеты .

   Откроется окно отчетов Kaspersky Internet Security.

3. Откройте закладку Защита от сетевых атак .

Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.