Виявлення атак. Захист мереж
Виявлення атак. Захист мереж
Типи і приклади мережевих атак
Мережеві атаки поділяють на активні і пасивні.
Активні атаки включають у себе явний вплив на систему, який змінює її стан. Наприклад, це може бути шкідливий програмний код-вірус, впроваджений в виконувану системою програму, спотворення даних на сторінках веб-сайту, блокування мережевого сервісу шляхом "бомбардування" його помилковими запитами. Відмінністю активних атак є те, що після свого завершення вони, як правило, залишають сліди.
Наприклад, змінюється вміст пам'яті, надходять дивні діагностичні повідомлення, додатки починають виконуватися неправильно, уповільнено або взагалі зависають, в характеристиках мережевого трафіку і в інших статистичних даних про роботу системи з'являються незрозумілі сплески активності. Проте ретельно підготована активна атака може пройти непоміченою, якщо фахівці, що відповідають за її безпеку, погано інформовані про можливі наслідки такого роду атак.
Пасивні атаки не порушують нормальну роботу системи: вони пов'язані зі збором інфорції про систему, наприклад, вони можуть прослуховувати внутрішньомережевий трафік або перехоплювати повідомлення, передані по лініям зв'язку. У багатьох випадках пасивні атаки не залишають слідів, тому їх дуже складно виявити, часто вони так і проходять непоміченими.
На практиці рідко зустрічається активна або пасивна атакою «в чистому вигляді». Найчастіше атака включає підготовчий етап - етап збору інформації про цільову систему, а потім на основі зібраних даних здійснюється активне втручання в її роботу. До корисної для хакера інформації відносяться типи ОС і додатків, IP-адреси, номера портів, імена і паролі користувачів.
______________________________________________________________________
Відмова в обслуговуванні
До числа активних атак відносяться дві вельми поширені атаки: відмова в обслуговуванні і розподілена атака відмови в обслуговуванні.В першому випадку, система, призначена для виконання запитів легальних користувачів, раптом перестає це робити або робить з великими затримками, що еквівалентно відмові. Відмова в обслуговуванні може трапитися у разі зловмисних дій, коли перевантаження створюється спеціально: на комп'ютер, що піддається атаці, надсилається інтенсивний потік запитів, згенерованих засобами атакуючого комп'ютера. Цей потік «затоплює» атакований комп'ютер, викликаючи в нього перевантаження, і в кінцевому етапі робить його недоступним. Блокування відбувається в результаті вичерпання ресурсів процесора, або операційної системи, або каналу зв'язку (смуги пропускання).
Зловмисник може багаторазово посилити ефект від проведення атаки відмови обслування шляхом крадіжки чужої обчислювальної потужності задля власни потреб. Для цього він отримує контроль над атакованим комп'ютером, завантажує в нього спеціальне шкідливе програмне забезпечення і активує його. Таким чином зловмисник непомітно для власника, "відгалужуючи" частину його обчислювальної потужності, змушуює інший комп'ютер працювати на себе.
Ще важче визначити адресу джерела розподіленої атаки, так як безпосередніми виконавцями виступають "зомбовані" комп'ютери і саме їх адреси містяться в полі адреси відправника пакетів. І хоча нічого не підозрюючі власники комп'ютерів-виконавців стають учасниками розподіленої атаки проти своєї волі, велика частина відповідальності лягає і на них. Адже саме їх прогалини в забезпеченні безпеки власних систем зробили цю атаку можливою.
Впровадження шкідливих програмЧисленна група активних атак пов'язана з впровадженням в комп'ютери шкідливих програм (malware - скорочення від malicious software). До цього типу програм відносяться троянські та шпигунські програми, руткіти, черв'яки, віруси, спам, логічні бомби і ін. Ці програми можуть проникати на атаковані комп'ютери різними шляхами. Найпростіший з них - "самодоставка", коли користувач самостійно завантажує файли з неперевірених джерел або безтурботно відкриває підозрілий файл, який прийшов до нього як додаток по електронній пошті. Існують і більш складні представники шкідливих програм, що володіють власними механізмами "розмноження": копії таких програм поширюються по комп'ютерній мережі без участі користувачів.
Впровадження шкідливих програмЧисленна група активних атак пов'язана з впровадженням в комп'ютери шкідливих програм (malware - скорочення від malicious software). До цього типу програм відносяться троянські та шпигунські програми, руткіти, черв'яки, віруси, спам, логічні бомби і ін. Ці програми можуть проникати на атаковані комп'ютери різними шляхами. Найпростіший з них - "самодоставка", коли користувач самостійно завантажує файли з неперевірених джерел або безтурботно відкриває підозрілий файл, який прийшов до нього як додаток по електронній пошті. Існують і більш складні представники шкідливих програм, що володіють власними механізмами "розмноження": копії таких програм поширюються по комп'ютерній мережі без участі користувачів.
Також проявами фішингу можуть бути спливаючі вікна, що з'являються на сайтах, яким ми цілком та повністю довіряємо і майже без роздумів можемо довіритись цьому вікну, яке навіть стилістично оформлено під сайт.
Сніфери пакетів
Сніффер пакетів являє собою прикладну програму, яка використовує мережеву карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки). При цьому сніффер перехоплює усі мережні пакети, які передаються через певний домен.
При проведенні атак зловмисникові важливо не тільки досягти своєї мети, яка полягає в заподіянні шкоди атакованому об'єкту, але і знищити всі сліди своєї
діяльності. Одним з основних прийомів, використовуваних зловмисниками для "замітання слідів", є підміна вмісту пакетів, або спуфінг (spoofing). Зокрема, для приховування місця знаходження джерела шкідливих пакетів зловмисник змінює значення поля адреси відправника в заголовках пакетів. Оскільки адреса відправника генерується автоматично системним програмним забезпеченням, зловмисник вносить зміни в відповідні програмні модулі так, щоб вони давали йому можливість відправляти зі свого комп'ютера пакети з будь-якими IP-адресами.
Атаки Man-in-the-MiddleДля атаки типу Man-in-the-Middle хакеру потрібний доступ до пакетів, що передаються по мережі. Такий доступ до всіх пакетів, що передаються від провайдера в будь-яку іншу мережу, може, приміром, отримати співробітник цього провайдера. Для атак цього типу часто використовуються сніффери пакетів, транспортні протоколи та протоколи маршрутизації. Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії і отримання доступу до приватних мережевих ресурсів, для аналізу трафіку та отримання інформації про мережу та її користувачів, для проведення атак типу DoS, спотворення переданих даних і введення несанкціонованої інформації в мережеві сесії, Ефективно боротися з атаками типу Man-in-the-Middle можна тільки за допомогою криптографії. Якщо хакер перехопить дані зашифрованої сесії, у нього на екрані з'явиться не перехоплене повідомлення, а безглуздий набір символів. Зауважимо, що якщо хакер отримає інформацію про криптографічний сесії (наприклад, ключ сесії), це може зробити можливою атаку Man-in-the-Middle навіть в зашифрованому середовищі.
______________________________________________________________________
Способи виявлення мережевих атак
Брандмауер - це поєднання програмних та апаратних засобів, які ізолюють внутрішню мережу від Інтернету, пропускаючи одні пакети і блокуючи інші. Брандмауер дозволяє адміністратору мережі контролювати доступ до ресурсів корпоративної мережі, що здійснюється зовні, а також керувати ресурсами адміністрованої мережі , регулюючи вхідний та вихідний трафік.
Всі брандмауери можна поділити на три категорії: традиційні пакети фільтрів, фільтри, що враховують стан з'єднання та шлюзи додатків.
Традиційні фільтри пакетів
Весь вхідний та вихідний трафік внутрішньокорпоративної мережі проходить через маршрутизатор, на якому відбувається фільтрація пакетів. Фільтр пакетів перевіряє кожну дейтаграмму, визначаючи як що з нею зробити згідно з правилами, встановленими адміністратором мережі. Адміністратор мережі конфігурує брандмауер, спираючись на політику, що діє в організації.
Брандмауер - це поєднання програмних та апаратних засобів, які ізолюють внутрішню мережу від Інтернету, пропускаючи одні пакети і блокуючи інші. Брандмауер дозволяє адміністратору мережі контролювати доступ до ресурсів корпоративної мережі, що здійснюється зовні, а також керувати ресурсами адміністрованої мережі , регулюючи вхідний та вихідний трафік.
Всі брандмауери можна поділити на три категорії: традиційні пакети фільтрів, фільтри, що враховують стан з'єднання та шлюзи додатків.
Традиційні фільтри пакетів
Весь вхідний та вихідний трафік внутрішньокорпоративної мережі проходить через маршрутизатор, на якому відбувається фільтрація пакетів. Фільтр пакетів перевіряє кожну дейтаграмму, визначаючи як що з нею зробити згідно з правилами, встановленими адміністратором мережі. Адміністратор мережі конфігурує брандмауер, спираючись на політику, що діє в організації.
Рішення , пов'язані з фільтрацією, зазвичай засновані на наступних факторах: вихідна чи кінцева ІР-адреса, тип протоколу в відповідному полі дейтаграми, флагові біти, тип повідомлення, різні правила, що характеризують вхідні і вихідні дейтаграми даної мережі та правила, що стосуються інтерфейсів.
Правила брандмауера реалізуються в маршрутизаторах за допомогою списків контролю доступу. Ці правила застосовуються для кожної дейтаграми, яка проодить через даний інтерфейс.
Фільтри, які враховують стан з'єднання
Дані фільтри відстежують ТСР-з'єднання і виконують фільтрацію на основі цієї інформації. Всі поточні ТСР-з'єднання відстежуються в спеціальній таблиці з'єднань. Якщо ж вхідний пакет не буде відноситись до поточних з'єднань, то він буде відкинутий брандмауером.
Правила брандмауера реалізуються в маршрутизаторах за допомогою списків контролю доступу. Ці правила застосовуються для кожної дейтаграми, яка проодить через даний інтерфейс.
Фільтри, які враховують стан з'єднання
Дані фільтри відстежують ТСР-з'єднання і виконують фільтрацію на основі цієї інформації. Всі поточні ТСР-з'єднання відстежуються в спеціальній таблиці з'єднань. Якщо ж вхідний пакет не буде відноситись до поточних з'єднань, то він буде відкинутий брандмауером.
Брандмауер має змогу фіксувати створення нового з'єднання, закінчення з'єднання, та перевірити активність з'єднання.
Шлюз додатків
Для забезпечення більш адресної безпеки, брандмаузери повинні комбінувати при роботі пакетні фільтри та шлюзи додатків. Шлюз додатків переглядає не лише загаловки, але й приймає рішення щоод дотримання політки на основі данного прикладного рівня. Шлюз додатків - це сервер, що працює на прикладному рівні, і через цей шлюз мають протікати всі дані додатків (вхідні і вихідні). На одному хості може працювати одразу декілька шлюзів додатків, проте кожний шдюз - це самостійний сервер з власним набором процесів.
Шлюз додатків
Для забезпечення більш адресної безпеки, брандмаузери повинні комбінувати при роботі пакетні фільтри та шлюзи додатків. Шлюз додатків переглядає не лише загаловки, але й приймає рішення щоод дотримання політки на основі данного прикладного рівня. Шлюз додатків - це сервер, що працює на прикладному рівні, і через цей шлюз мають протікати всі дані додатків (вхідні і вихідні). На одному хості може працювати одразу декілька шлюзів додатків, проте кожний шдюз - це самостійний сервер з власним набором процесів.
______________________________________________________________________
Системи виявлення вторгнень
Система виявлення вторгнень дозволяє виявити різні атаки, а саме трасування мережі, сканування портів, стеків ТСР, атаки відмови в обслуговуванні, застосування червів та вірусів, атаки на вразливості операційної системи чи окремих додатків.
В мережі організації можуть бути декілька таких систем. При одночасній роботі вони працюють узгоджено , пересилаючи повідомлення про підозрілий трафік в центральний процесор системи, який збирає та систематизує ці дані, а також повідомляє адміністратору якщо це необхідно.
Система виявлення вторгнень дозволяє виявити різні атаки, а саме трасування мережі, сканування портів, стеків ТСР, атаки відмови в обслуговуванні, застосування червів та вірусів, атаки на вразливості операційної системи чи окремих додатків.
В мережі організації можуть бути декілька таких систем. При одночасній роботі вони працюють узгоджено , пересилаючи повідомлення про підозрілий трафік в центральний процесор системи, який збирає та систематизує ці дані, а також повідомляє адміністратору якщо це необхідно.
Методи захисту на мережному рівні
Протокол NAT використовується для передачі пакетів з IP-адрес, призначених тільки для внутріш-нього використання, в зовнішні мережі і для вирішення задачі приховування внутрішньої логічної структури мережі від зовнішніх мереж.
NAT транслює тільки той трафік, який проходить між вну-трішньою і зовнішньою мережею і визначений для трансляції. Будь-який трафік, який не відповідає кри-теріям трансляції або той, який проходить між іншими інтерфейсами на маршрутизаторі, ніколи не транслюється і пересилається з використанням марш-рутизації. Слід звернути увагу на те, що протокол NAT виконує тільки трансляцію адрес і не виконує функції фільтрації. Для заборони проходження паке-тів з зовнішніх мереж у внутрішню необхідно засто-совувати відповідні списки доступу.
Комментарии
Отправить комментарий