Síťové útoky. Ochrana sítě – druhý stupeň ochrany Symantec

Síťové útoky. Ochrana sítě – druhý stupeň ochrany Symantec

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Podobné dokumenty

    Zobecněný model procesu detekce útoků. Zdůvodnění a výběr řízených parametrů a softwaru pro vývoj systému detekce útoků. Hlavní hrozby a zranitelnosti. Použití systému detekce útoků v přepínaných sítích.

    práce, přidáno 21.06.2011

    Počítačové útoky a technologie pro jejich detekci. Systémy detekce síťových útoků a firewally. Softwarové nástroje pro analýzu zabezpečení a zmírňování hrozeb. Implementace softwarových nástrojů pro detekci útoků pro podnikový informační systém.

    práce v kurzu, přidáno 16.03.2015

    Metody detekce útoků na síťové a systémové úrovni. Administrativní metody ochrany proti různým typům vzdálených útoků. Oznámení o hackování. Reakce po invazi. Doporučení pro ukládání informací a jejich kontrolu na internetu.

    práce v kurzu, přidáno 21.01.2011

    Klasifikace síťových útoků podle úrovně modelu OSI, podle typu, podle umístění útočníka a napadeného objektu. Problém zabezpečení sítě IP. Hrozby a zranitelnosti bezdrátových sítí. Klasifikace systémů detekce útoků IDS. Koncept XSpider.

    práce v kurzu, přidáno 11/04/2014

    Metody boje proti síťovým útokům. Algoritmus akce na úrovni sítě. Metody provádění útoků na hesla. Man-in-the-Middle útoky. Průzkum sítě, neoprávněný přístup. Přesměrování portů. Aplikace virů a trojských koní.

    práce v kurzu, přidáno 20.04.2015

    Problém zabezpečení operačního systému. Funkce bezpečnostního subsystému. Identifikace uživatelů, softwarové hrozby (útoky). Typy síťových útoků. Životní cyklus vývoje bezpečných softwarových produktů. Vyhodnocování útoků na software.

    prezentace, přidáno 24.01.2014

    Metody využití technologií neuronových sítí v systémech detekce narušení. Expertní systémy pro detekci síťových útoků. Umělé sítě, genetické algoritmy. Výhody a nevýhody systémů detekce narušení založených na neuronových sítích.

    test, přidáno 30.11.2015

    Pohodlí a možnosti systému prevence útoků Snort, typy zásuvných modulů: preprocesory, detekční moduly, výstupní moduly. Metody detekce útoků a řetězec pravidel systému Snort. Klíčové pojmy, princip fungování a vestavěné akce iptables.

    test, přidáno 17.01.2015

Ochrana proti síťovým útokům

Síťový útok je akce kyberzločince, jejímž cílem je získat kontrolu nad konkrétní sítí přidělením administrátorských práv. Konečným cílem hackera je destabilizovat stránky a servery, deaktivovat je a získat osobní údaje každého uživatele sítě.

Síťové útoky a obranné metody

Dnes používají kyberzločinci následující typy útoků:

  • poštovní bombardování;
  • přetečení zásobníku;
  • speciální aplikace;
  • síťová inteligence;
  • IP spoofing;
  • Muž uprostřed;
  • XSS útok;
  • útok DDOS;
  • phishing atd.

Každý z těchto útoků na místní síť je specifický. Správci proto používají různé prostředky ochrany proti síťovým útokům.

Například podstatou Mailbomberu je hromadné zasílání dopisů na e-mailovou adresu oběti. Výsledkem je, že zločinec vyvolá selhání poštovní schránky nebo celého poštovního serveru. K ochraně před tímto typem útoku používají IT specialisté speciálně nakonfigurovaný server. Pokud aplikace „vidí“, že z určité adresy přichází příliš mnoho dopisů (nad nastavený limit), automaticky všechny dopisy odešle do koše.

Docela často útočníci používají metodu zvanou přetečení paměti. Díky přítomnosti specifických síťových a softwarových zranitelností se jim daří vyvolat narušení hranic RAM, předčasné ukončení uživatelské aplikace nebo spuštění libovolného binárního kódu. Ochrana proti síťovým útokům tedy spočívá v nalezení a odstranění zranitelnosti.

Nejběžnějším způsobem útoku na místní sítě je použití speciálního softwaru. Jedná se o počítačové viry, trojské koně, sniffery a rootkity. Virus je určitý software, který je vložen do jiného (často zcela legálního) programu a provádí určitou akci na počítači uživatele. Například šifruje soubory, registruje se v BIOSu, což znemožňuje načítání softwarové platformy atd. Trojské koně jsou aplikace, které plní specifickou funkci, například kradou data o debetních a kreditních kartách uživatele a získávají přístup k jeho elektronickým peněženkám. Sniffery zachycují datové pakety, které počítač posílá na konkrétní web. Díky tomu může kyberzločinec zjistit přihlašovací jména a hesla pro internetové bankovnictví a další důležité informace.

K ochraně dat v sítích se používají antivirové programy, firewally, šifrování, anti-sniffery a anti-rootkity.

ICS - komplexní metoda ochrany proti síťovým útokům

Naše společnost vyvíjí ICS - program pro ochranu před síťovými útoky. ICS integruje modul DLP, který zabraňuje úniku důvěrných dat, detektor útoků Suricata a bránu firewall webových aplikací. V případě potřeby si navíc uživatelé mohou zakoupit Anti-Virus a Anti-Spam od společnosti Kaspersky Lab nebo Dr.Web for ICS.

Internet Control Server je komplexní ochrana jak pro celou síť, tak pro jednotlivé PC!

20.06.05 37 tis

Internet zcela mění náš způsob života: práci, studium, volný čas. K těmto změnám dojde jak v oblastech, které již známe (elektronický obchod, přístup k informacím v reálném čase, zvýšení komunikačních schopností atd.), tak v těch oblastech, o kterých ještě nemáme představu.

Může přijít doba, kdy bude korporace všechny telefonovat přes internet, a to zcela zdarma. V soukromém životě se mohou objevit speciální webové stránky, s jejichž pomocí mohou rodiče kdykoli zjistit, jak se jejich dětem daří. Naše společnost si teprve začíná uvědomovat neomezené možnosti internetu.

Úvod

Současně s enormním růstem popularity internetu vzniká bezprecedentní nebezpečí prozrazení osobních údajů, kritických podnikových zdrojů, státních tajemství atd.

Hackeři tyto zdroje každodenně ohrožují tím, že se k nim snaží získat přístup pomocí speciálních útoků, které jsou na jedné straně postupně sofistikovanější a na druhé snáze proveditelné. Přispívají k tomu dva hlavní faktory.

Za prvé je to rozšířené pronikání internetu. Dnes jsou k internetu připojeny miliony zařízení a v blízké budoucnosti bude k internetu připojeno mnoho milionů zařízení, takže je stále pravděpodobnější, že hackeři získají přístup k zranitelným zařízením.

Široké používání internetu navíc umožňuje hackerům vyměňovat si informace v celosvětovém měřítku. Jednoduché vyhledávání klíčových slov jako „hacker“, „hacking“, „hack“, „crack“ nebo „phreak“ vám vrátí tisíce stránek, z nichž mnohé obsahují škodlivý kód a jak jej používat.

Za druhé, toto je nejširší distribuce snadno použitelných operačních systémů a vývojových prostředí. Tento faktor prudce snižuje úroveň znalostí a dovedností vyžadovaných hackerem. Dříve, aby mohl hacker vytvářet a distribuovat snadno použitelné aplikace, musel mít dobré programovací dovednosti.

Nyní, abyste získali přístup k hackerskému nástroji, potřebujete pouze znát IP adresu požadované stránky a k provedení útoku stačí kliknout myší.

Klasifikace síťových útoků

Síťové útoky jsou stejně rozmanité jako systémy, na které se zaměřují. Některé útoky jsou velmi složité, jiné jsou v možnostech běžného operátora, který si důsledky své činnosti ani neumí představit. Chcete-li vyhodnotit typy útoků, musíte znát některá z přirozených omezení protokolu TPC/IP. Síť

Internet byl vytvořen pro komunikaci mezi vládními agenturami a univerzitami za účelem podpory vzdělávacího procesu a vědeckého výzkumu. Tvůrci této sítě netušili, jak moc se rozšíří. V důsledku toho specifikace raných verzí internetového protokolu (IP) postrádaly bezpečnostní požadavky. To je důvod, proč je mnoho implementací IP inherentně zranitelných.

Po mnoha letech, po mnoha stížnostech (Request for Comments, RFC) se konečně začala zavádět bezpečnostní opatření pro IP. Vzhledem k tomu, že bezpečnostní opatření pro protokol IP nebyla zpočátku vyvíjena, začaly být všechny jeho implementace doplňovány řadou síťových procedur, služeb a produktů, které snižují rizika spojená s tímto protokolem. Dále se stručně podíváme na typy útoků, které se běžně používají proti sítím IP, a uvedeme způsoby, jak proti nim bojovat.

Čichač paketů

Sniffer paketů je aplikační program, který používá síťovou kartu pracující v promiskuitním režimu (v tomto režimu síťový adaptér posílá všechny pakety přijaté fyzickými kanály do aplikace ke zpracování).

V tomto případě sniffer zachytí všechny síťové pakety, které jsou přenášeny přes určitou doménu. V současné době fungují sniffery na sítích na zcela legálním základě. Používají se pro diagnostiku poruch a analýzu provozu. Nicméně vzhledem k tomu, že některé síťové aplikace přenášejí data v textovém formátu ( Telnet, FTP, SMTP, POP3 atd..), pomocí snifferu můžete zjistit užitečné a někdy důvěrné informace (například uživatelská jména a hesla).

Zachycení přihlášení a hesla představuje velkou hrozbu, protože uživatelé často používají stejné přihlašovací jméno a heslo pro více aplikací a systémů. Mnoho uživatelů má obecně jediné heslo pro přístup ke všem zdrojům a aplikacím.

Pokud aplikace běží v režimu klient-server a autentizační data jsou přenášena po síti v čitelném textovém formátu, pak lze tyto informace s největší pravděpodobností použít pro přístup k dalším firemním nebo externím zdrojům. Hackeři příliš dobře znají a využívají lidské slabosti (metody útoku jsou často založeny na metodách sociálního inženýrství).

Dobře si uvědomují, že pro přístup k mnoha zdrojům používáme stejné heslo, a proto se jim často podaří získat přístup k důležitým informacím tím, že se naše heslo naučí. V nejhorším případě hacker získá přístup k uživatelskému zdroji na úrovni systému a použije jej k vytvoření nového uživatele, kterého lze kdykoli použít pro přístup k síti a jejím zdrojům.

Hrozbu sniffování paketů můžete snížit pomocí následujících nástrojů::

Autentizace. Silná autentizace je nejdůležitější obranou proti sniffování paketů. Výrazem „silné“ rozumíme autentizační metody, které je obtížné obejít. Příkladem takové autentizace jsou jednorázová hesla (OTP).

OTP je technologie dvoufaktorové autentizace, která kombinuje to, co máte, s tím, co znáte. Typickým příkladem dvoufaktorové autentizace je provoz běžného bankomatu, který vás identifikuje jednak podle vaší plastové karty, jednak podle vámi zadaného PIN kódu. K autentizaci v systému OTP je nutný také PIN kód a vaše osobní karta.

„Kartou“ (tokenem) rozumíme hardwarový nebo softwarový nástroj, který generuje (na náhodném principu) jedinečné jednorázové, jednorázové heslo. Pokud hacker zjistí toto heslo pomocí snifferu, pak bude tato informace k ničemu, protože v tu chvíli bude heslo již použito a vyřazeno.

Všimněte si, že tento způsob boje proti šňupání je účinný pouze v případech zachycení hesla. Sniffery, které zachycují další informace (jako jsou e-mailové zprávy), zůstávají účinné.

Přepínaná infrastruktura. Dalším způsobem, jak bojovat proti odposlechu paketů ve vašem síťovém prostředí, je vytvořit přepínanou infrastrukturu. Pokud například celá organizace používá dial-up Ethernet, mohou hackeři přistupovat pouze k provozu přicházejícím do portu, ke kterému jsou připojeni. Přepínaná infrastruktura neodstraňuje hrozbu sniffingu, ale výrazně snižuje její závažnost.

Antisniffers. Třetím způsobem boje proti čichání je instalace hardwaru nebo softwaru, který rozpozná čichací programy běžící ve vaší síti. Tyto nástroje nemohou zcela eliminovat hrozbu, ale stejně jako mnoho jiných nástrojů zabezpečení sítě jsou součástí celkového systému ochrany. Antisniffer měří doby odezvy hostitele a určují, zda hostitelé musí zpracovávat zbytečný provoz. Jeden takový produkt, dostupný od LOpht Heavy Industries, se nazývá AntiSniff.

Kryptografie. Tento nejúčinnější způsob boje proti odposlechu paketů sice nebrání zachycení a nerozpoznává práci snifferů, ale činí tuto práci zbytečnou. Pokud je komunikační kanál kryptograficky zabezpečený, pak hacker nezachytí zprávu, ale šifrovaný text (tedy nesrozumitelný sled bitů). Kryptografie síťové vrstvy Cisco je založena na protokolu IPSec, což je standardní metoda pro zabezpečenou komunikaci mezi zařízeními pomocí protokolu IP. Mezi další protokoly správy kryptografických sítí patří protokoly SSH (Secure Shell) a SSL (Secure Socket Layer).

IP spoofing

IP spoofing nastává, když se hacker, uvnitř nebo mimo společnost, vydává za oprávněného uživatele. To lze provést dvěma způsoby: hacker může použít buď IP adresu, která je v rozsahu autorizovaných IP adres, nebo autorizovanou externí adresu, která má povolen přístup k určitým síťovým zdrojům.

IP spoofing útoky jsou často výchozím bodem pro další útoky. Klasickým příkladem je DoS útok, který začíná z adresy někoho jiného a skrývá skutečnou identitu hackera.

Typicky je IP spoofing omezen na vkládání nepravdivých informací nebo škodlivých příkazů do normálního toku dat přenášených mezi klientskou a serverovou aplikací nebo přes komunikační kanál mezi peer zařízeními.

Pro obousměrnou komunikaci musí hacker změnit všechny směrovací tabulky tak, aby směrovaly provoz na falešnou IP adresu. Někteří hackeři se ale ani nesnaží získat odpověď z aplikací – pokud je hlavním cílem získat důležitý soubor ze systému, pak na odpovědích aplikací nezáleží.

Pokud se hackerovi podaří změnit směrovací tabulky a nasměrovat provoz na falešnou IP adresu, obdrží všechny pakety a bude na ně moci reagovat, jako by byl oprávněným uživatelem.

Hrozbu spoofingu lze zmírnit (ale ne odstranit) pomocí následujících opatření:

  • Řízení přístupu. Nejjednodušší způsob, jak zabránit falšování IP adres, je správně nakonfigurovat řízení přístupu. Chcete-li snížit účinnost falšování IP adres, nakonfigurujte řízení přístupu tak, aby odmítalo veškerý provoz přicházející z externí sítě se zdrojovou adresou, která by se měla nacházet uvnitř vaší sítě.

    Je pravda, že to pomáhá bojovat proti falšování IP, když jsou autorizovány pouze interní adresy; pokud jsou autorizovány i některé externí síťové adresy, tato metoda se stává neúčinnou;

  • Filtrování RFC 2827. Můžete zabránit uživatelům ve vaší síti ve falšování sítí jiných lidí (a stát se dobrým online občanem). Chcete-li to provést, musíte odmítnout veškerý odchozí provoz, jehož zdrojová adresa není jednou z adres IP vaší organizace.

    Tento typ filtrování, známý jako RFC 2827, může také provádět váš poskytovatel internetových služeb (ISP). V důsledku toho je odmítnut veškerý provoz, který nemá zdrojovou adresu očekávanou na konkrétním rozhraní. Pokud například ISP poskytuje připojení k IP adrese 15.1.1.0/24, může nakonfigurovat filtr tak, aby byl z tohoto rozhraní do routeru ISP povolen pouze provoz pocházející z 15.1.1.0/24.

Upozorňujeme, že dokud všichni poskytovatelé nezavedou tento typ filtrování, bude jeho účinnost mnohem nižší, než je možné. Navíc, čím dále jste od filtrovaných zařízení, tím obtížnější je provést přesnou filtraci. Například filtrování RFC 2827 na úrovni přístupového směrovače vyžaduje předávání veškerého provozu z hlavní síťové adresy (10.0.0.0/8), zatímco na distribuční úrovni (v dané architektuře) je možné provoz omezit přesněji (adresa - 10.1.5.0/24).

Nejúčinnější metoda pro boj s IP spoofingem je stejná jako v případě packet sniffingu: musíte útok učinit zcela neúčinným. IP spoofing může fungovat pouze v případě, že je ověřování založeno na IP adresách.

Zavedení dalších autentizačních metod proto činí takové útoky zbytečnými. Nejlepší typ dodatečné autentizace je kryptografický. Pokud to není možné, dobré výsledky může poskytnout dvoufaktorová autentizace pomocí jednorázových hesel.

Odmítnutí služby

Denial of Service (DoS) je bezesporu nejznámější formou hackerských útoků. Proti těmto typům útoků je navíc nejobtížnější vytvořit 100% ochranu. Mezi hackery jsou DoS útoky považovány za dětskou hru a jejich použití vyvolává opovržlivé úsměvy, protože organizace DoS vyžaduje minimum znalostí a dovedností.

Nicméně právě snadnost implementace a obrovský rozsah způsobených škod přitahuje pozornost správců odpovědných za síťovou bezpečnost. Pokud se chcete dozvědět více o útocích DoS, měli byste zvážit nejznámější typy, konkrétně:

  • TCP SYN Flood;
  • Ping smrti;
  • Tribe Flood Network (TFN) a Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trojice.

Vynikajícím zdrojem bezpečnostních informací je Computer Emergency Response Team (CERT), který publikoval vynikající práci v boji proti DoS útokům.

DoS útoky se liší od jiných typů útoků. Nejsou zaměřeny na získání přístupu do vaší sítě ani na získání jakýchkoli informací z této sítě, ale útok DoS znepřístupní vaši síť pro běžné použití tím, že překročí přijatelné limity sítě, operačního systému nebo aplikace.

V případě některých serverových aplikací (jako je webový server nebo FTP server) mohou útoky DoS zahrnovat převzetí všech dostupných připojení k těmto aplikacím a jejich udržování obsazené, čímž se zabrání obsluhování běžných uživatelů. DoS útoky mohou využívat běžné internetové protokoly, jako jsou TCP a ICMP ( Internet Control Message Protocol).

Většina útoků DoS se nezaměřuje na softwarové chyby nebo bezpečnostní díry, ale spíše na obecné slabiny v architektuře systému. Některé útoky ochromují výkon sítě tím, že ji zahlcují nechtěnými a nepotřebnými pakety nebo zavádějícími informacemi o aktuálním stavu síťových zdrojů.

Tomuto typu útoku je obtížné zabránit, protože vyžaduje koordinaci s poskytovatelem. Pokud nezastavíte provoz určený k zahlcení vaší sítě u poskytovatele, pak to již nebudete moci udělat na vstupu do sítě, protože veškerá šířka pásma bude obsazena. Pokud je tento typ útoku prováděn současně prostřednictvím mnoha zařízení, hovoříme o distribuovaném DoS útoku (distribuovaný DoS, DDoS).

Hrozbu útoků DoS lze snížit třemi způsoby:

  • Funkce proti falšování. Správná konfigurace funkcí proti falšování na vašich routerech a firewallech pomůže snížit riziko DoS. Tyto funkce by měly zahrnovat minimálně filtrování RFC 2827. Pokud hacker nedokáže zamaskovat svou pravou identitu, je nepravděpodobné, že by provedl útok.
  • Anti-DoS funkce. Správná konfigurace funkcí anti-DoS na směrovačích a firewallech může omezit účinnost útoků. Tyto funkce často omezují počet napůl otevřených kanálů v daném okamžiku.
  • Omezení rychlosti provozu. Organizace může požádat svého poskytovatele internetových služeb (ISP), aby omezil objem provozu. Tento typ filtrování vám umožňuje omezit množství nekritického provozu, který prochází vaší sítí. Typickým příkladem je omezení objemu ICMP provozu, který se používá pouze pro diagnostické účely. (D)DoS útoky často využívají ICMP.

Útoky na hesla

Hackeři mohou provádět útoky na hesla pomocí řady metod, jako je útok hrubou silou, trojský kůň, IP spoofing a paketové sniffování. I když lze přihlašovací jméno a heslo často získat pomocí falšování IP adres a sniffování paketů, hackeři se často snaží uhodnout heslo a přihlásit se pomocí více pokusů o přístup. Tento přístup se nazývá jednoduché vyhledávání (útok hrubou silou).

Takový útok často používá speciální program, který se pokouší získat přístup k veřejnému zdroji (například serveru). Pokud je v důsledku toho hacker udělen přístup ke zdrojům, obdrží jej s právy běžného uživatele, jehož heslo bylo vybráno.

Pokud má tento uživatel významná přístupová práva, může si hacker vytvořit „průchod“ pro budoucí přístup, který zůstane platný, i když uživatel změní své heslo a přihlašovací jméno.

Další problém nastává, když uživatelé používají stejné (i velmi dobré) heslo pro přístup k mnoha systémům: podnikovým, osobním a internetovým systémům. Protože síla hesla se rovná síle nejslabšího hostitele, hacker, který se heslo dozví prostřednictvím tohoto hostitele, získá přístup ke všem ostatním systémům, kde se používá stejné heslo.

Útokům na hesla se lze vyhnout tím, že nebudete používat hesla ve formátu prostého textu. Jednorázová hesla a/nebo kryptografická autentizace mohou hrozbu takových útoků prakticky eliminovat. Bohužel ne všechny aplikace, hostitelé a zařízení podporují výše uvedené metody ověřování.

Při používání běžných hesel se snažte vymyslet takové, které by bylo těžké uhodnout. Minimální délka hesla musí být alespoň osm znaků. Heslo musí obsahovat velká písmena, čísla a speciální znaky (#, %, $ atd.).

Nejlepší hesla je těžké uhodnout a těžko si je zapamatovat, což nutí uživatele, aby si je zapisovali na papír. Aby se tomu zabránilo, mohou uživatelé a správci využít řadu nejnovějších technologických pokroků.

Existují například aplikační programy, které zašifrují seznam hesel, která lze uložit do kapesního počítače. Díky tomu si uživatel musí zapamatovat pouze jedno složité heslo, zatímco všechna ostatní aplikace spolehlivě ochrání.

Správce má několik metod, jak bojovat proti hádání hesel. Jedním z nich je použití nástroje L0phtCrack, který hackeři často využívají k hádání hesel v prostředí Windows NT. Tento nástroj vám rychle ukáže, zda lze snadno uhodnout heslo zvolené uživatelem. Pro více informací navštivte http://www.l0phtcrack.com/.

Man-in-the-Middle útoky

Pro útok typu Man-in-the-Middle potřebuje hacker přístup k paketům přenášeným po síti. Takový přístup ke všem paketům přenášeným od poskytovatele do jakékoli jiné sítě může získat např. zaměstnanec tohoto poskytovatele. Pro tento typ útoku se často používají sniffery paketů, transportní protokoly a směrovací protokoly.

Útoky jsou prováděny s cílem ukrást informace, zachytit aktuální relaci a získat přístup ke zdrojům privátní sítě, analyzovat provoz a získat informace o síti a jejích uživatelích, provádět DoS útoky, zkreslovat přenášená data a zadávat neoprávněné informace do síťových relací.

Proti útokům typu Man-in-the-Middle lze účinně bojovat pouze pomocí kryptografie. Pokud hacker zachytí data ze šifrované relace, na jeho obrazovce se neobjeví zachycená zpráva, ale nesmyslná sada znaků. Všimněte si, že pokud hacker získá informace o kryptografické relaci (například klíč relace), může to umožnit útok Man-in-the-Middle i v šifrovaném prostředí.

Útoky na aplikační úrovni

Útoky na úrovni aplikace lze provádět několika způsoby. Nejběžnější z nich je použití známých slabin serverového softwaru (sendmail, HTTP, FTP). Využitím těchto slabin mohou hackeři získat přístup k počítači jako uživatel spouštějící aplikaci (obvykle ne běžný uživatel, ale privilegovaný správce s přístupovými právy do systému).

Informace o útocích na úrovni aplikací jsou široce zveřejňovány, aby správci měli možnost opravit problém pomocí opravných modulů (záplat). Bohužel k těmto informacím má přístup i mnoho hackerů, což jim umožňuje se zlepšovat.

Hlavním problémem útoků na úrovni aplikací je to, že hackeři často používají porty, které mají povolený průchod přes firewall. Například hacker využívající známou slabinu webového serveru často použije port 80 při útoku TCP. Protože webový server poskytuje uživatelům webové stránky, musí firewall poskytnout přístup k tomuto portu. Z pohledu firewallu je útok považován za standardní provoz na portu 80.

Útoky na úrovni aplikací nelze zcela eliminovat. Hackeři neustále objevují a zveřejňují nové zranitelnosti v aplikačních programech na internetu. Nejdůležitější je zde dobrá správa systému. Zde jsou některá opatření, která můžete podniknout, abyste snížili svou zranitelnost vůči tomuto typu útoku:

  • číst soubory protokolu operačního systému a sítě a/nebo je analyzovat pomocí speciálních analytických aplikací;
  • Přihlaste se k odběru služby hlášení zranitelnosti aplikací: Bugtrad (http://www.securityfocus.com).

Síťová inteligence

Síťová inteligence označuje sběr síťových informací pomocí veřejně dostupných dat a aplikací. Při přípravě útoku proti síti se o ní hacker obvykle snaží získat co nejvíce informací. Průzkum sítě se provádí formou DNS dotazů, pingů a skenování portů.

Dotazy DNS vám pomohou pochopit, kdo vlastní konkrétní doménu a jaké adresy jsou této doméně přiřazeny. Ping na adresy odhalené DNS vám umožní zjistit, kteří hostitelé skutečně běží v daném prostředí. Po obdržení seznamu hostitelů hacker pomocí nástrojů pro skenování portů sestaví úplný seznam služeb podporovaných těmito hostiteli. Nakonec hacker analyzuje vlastnosti aplikací běžících na hostitelích. Díky tomu získá informace, které lze použít k hackování.

Úplně se zbavit síťové inteligence je nemožné. Pokud například zakážete ICMP echo a echo response na okrajových směrovačích, zbavíte se testování pingem, ale přijdete o data potřebná k diagnostice selhání sítě.

Kromě toho můžete skenovat porty bez předběžného testování pingem - zabere to jen více času, protože budete muset skenovat neexistující IP adresy. Systémy IDS na úrovni sítě a hostitele obvykle odvádějí dobrou práci při upozorňování správců na probíhající průzkum sítě, což jim umožňuje lépe se připravit na nadcházející útok a upozornit poskytovatele internetových služeb (ISP), na jehož síť je systém příliš zvědavý:

  1. používat nejnovější verze operačních systémů a aplikací a nejnovější opravné moduly (záplaty);
  2. Kromě správy systému používejte systémy detekce útoků (IDS) - dvě doplňkové technologie ID:
    • Network IDS System (NIDS) monitoruje všechny pakety procházející určitou doménou. Když systém NIDS vidí paket nebo sérii paketů odpovídajících signaturám známého nebo pravděpodobného útoku, vygeneruje poplach a/nebo ukončí relaci;
    • Systém IDS (HIDS) chrání hostitele pomocí softwarových agentů. Tento systém bojuje proti útokům pouze proti jednomu hostiteli.

Systémy IDS při své práci využívají signatury útoků, což jsou profily konkrétních útoků nebo typů útoků. Podpisy definují podmínky, za kterých je provoz považován za hackera. Analogy IDS ve fyzickém světě lze považovat za varovný systém nebo sledovací kameru.

Největší nevýhodou IDS je jejich schopnost generovat alarmy. Pro minimalizaci počtu falešných poplachů a zajištění správného fungování systému IDS v síti je nutná pečlivá konfigurace systému.

Porušení důvěry

Přísně vzato, tento typ akce není v plném smyslu slova útokem nebo přepadením. Představuje škodlivé zneužití důvěryhodných vztahů, které existují v síti. Klasickým příkladem takového zneužívání je situace v periferní části podnikové sítě.

Tento segment často obsahuje servery DNS, SMTP a HTTP. Protože všechny patří do stejného segmentu, hackování kteréhokoli z nich vede k hacknutí všech ostatních, protože tyto servery důvěřují jiným systémům ve své síti.

Dalším příkladem je systém nainstalovaný na vnější straně brány firewall, který má vztah důvěryhodnosti se systémem nainstalovaným uvnitř brány firewall. Pokud dojde ke kompromitaci externího systému, hacker může použít vztah důvěryhodnosti k proniknutí do systému chráněného bránou firewall.

Riziko porušení důvěry lze snížit přísnější kontrolou úrovní důvěry ve vaší síti. Systémy umístěné mimo firewall by nikdy neměly mít absolutní důvěru od systémů chráněných firewallem.

Vztahy důvěryhodnosti by měly být omezeny na konkrétní protokoly a pokud možno ověřeny jinými parametry než IP adresami.

Přesměrování portů

Přesměrování portů je forma zneužití důvěry, při které se kompromitovaný hostitel používá k procházení provozu přes bránu firewall, která by byla jinak odmítnuta. Představme si firewall se třemi rozhraními, z nichž každé je připojeno ke konkrétnímu hostiteli.

Externí hostitel se může připojit ke sdílenému hostiteli (DMZ), ale ne k hostiteli nainstalovanému uvnitř brány firewall. Sdílený hostitel se může připojit k internímu i externímu hostiteli. Pokud hacker převezme sdílený hostitel, může na něj nainstalovat software, který přesměruje provoz z externího hostitele přímo na interní.

Ačkoli to neporušuje žádné z pravidel na obrazovce, externí hostitel získá přímý přístup k chráněnému hostiteli v důsledku přesměrování. Příkladem aplikace, která může takový přístup poskytnout, je netcat. Více informací naleznete na http://www.avian.org.

Hlavním způsobem boje proti přesměrování portů je použití modelů silné důvěry (viz předchozí část). Kromě toho může hostitelský IDS systém (HIDS) zabránit hackerovi v instalaci jeho softwaru na hostitele.

Neautorizovaný přístup

Neoprávněný přístup nelze identifikovat jako samostatný typ útoku, protože většina síťových útoků je prováděna právě za účelem získání neoprávněného přístupu. Aby mohl hacker uhodnout přihlášení k Telnetu, musí nejprve získat nápovědu Telnetu na svůj systém. Po připojení k portu Telnet se na obrazovce objeví zpráva „vyžaduje autorizaci k použití tohoto zdroje“ („ K použití tohoto zdroje je vyžadována autorizace.»).

Pokud se hacker bude i poté pokoušet o přístup, bude považován za neoprávněného. Zdroj takových útoků může být buď uvnitř sítě, nebo mimo ni.

Metody boje proti neoprávněnému přístupu jsou poměrně jednoduché. Zde jde především o to, aby se snížila nebo úplně eliminovala schopnost hackera získat přístup do systému pomocí neautorizovaného protokolu.

Jako příklad zvažte zabránění hackerům v přístupu k portu Telnet na serveru, který poskytuje webové služby externím uživatelům. Bez přístupu k tomuto portu na něj hacker nebude moci zaútočit. Pokud jde o firewall, jeho hlavním úkolem je zabránit nejjednodušším pokusům o neoprávněný přístup.

Aplikace virů a trojských koní

Pracovní stanice koncových uživatelů jsou velmi zranitelné vůči virům a trojským koním. Viry jsou škodlivé programy, které se vkládají do jiných programů, aby na pracovní stanici koncového uživatele provedly určitou nežádoucí funkci. Příkladem je virus, který je zapsán v souboru command.com (hlavní interpret systémů Windows) a maže další soubory a také infikuje všechny ostatní verze command.com, které najde.

Trojský kůň není softwarová vložka, ale skutečný program, který se na první pohled zdá být užitečnou aplikací, ale ve skutečnosti hraje škodlivou roli. Příkladem typického trojského koně je program, který vypadá jako jednoduchá hra pro pracovní stanici uživatele.

Zatímco však uživatel hraje hru, program odešle svou kopii e-mailem každému předplatiteli v adresáři tohoto uživatele. Všichni předplatitelé obdrží hru poštou, což způsobí její další distribuci.

Boj s viry a trojskými koňmi se provádí pomocí účinného antivirového softwaru, který funguje na úrovni uživatele a případně i na úrovni sítě. Antivirové produkty detekují většinu virů a trojských koní a zastavují jejich šíření.

Získání nejnovějších informací o virech vám pomůže účinněji s nimi bojovat. Jak se objevují nové viry a trojské koně, podniky musí instalovat nové verze antivirových nástrojů a aplikací.

Při psaní tohoto článku byly použity materiály poskytnuté společností Cisco Systems.

Dobrý špatný

Každý síťový útok lze obecně rozdělit do 5 fází (tabulka 3). V reálné situaci mohou být některé kroky přeskočeny.

Tabulka 3. Hlavní třídy síťových útoků

Třída síťových útoků

Popis třídy

1. Výzkum

Získání obecných informací o počítačovém systému (CS)

1.1 Sociotechnika

Získávání informací prostřednictvím zdvořilého poděkování telefonicky, e-mailem atd.

1.2 Přímá invaze

Získávání informací prostřednictvím fyzického přístupu k síťovému zařízení

1.3 Odstraňování nečistot

Získávání informací z odpadkových košů nebo archivů

1.4 Vyhledávání na webu

Získávání informací z internetu pomocí veřejných vyhledávačů

1.5 Prozkoumejte WHOIS

Získávání informací z registračních údajů o majitelích doménových jmen, IP adresách a autonomních systémech

1.6 Studium zón DNS

Získávání informací pomocí služby doménových jmen

2. Skenujte

Získání informací o infrastruktuře a vnitřní struktuře ČS

2.1 Vyhledávání aktivních zařízení

Získání informací o aktivních CS zařízeních

2.2 Trasování trasy

Určení topologie CS

2.3 Skenování portů

Získání informací o aktivních službách působících v ČS

3. Získání přístupu

Získání privilegovaných práv ke správě uzlů CS

3.1 Přetečení zásobníku

Spuštění libovolného kódu v důsledku softwarové závady způsobené útočníkem

3.2 Útok na hesla

Výběr hesel ze seznamu standardních nebo pomocí speciálně generovaného slovníku, zachycení hesel

3.3 Útoky na WEB aplikace

Získání přístupu v důsledku zneužití zranitelností v otevřených CS WEB aplikacích

3.4 Čichání

Získávání přístupu prostřednictvím pasivního (naslouchání) a aktivního (záměna příjemců) odposlechu CS provozu

3.5 Zachycení relace

Využití získaných práv k dosažení cílů hackerů

4.1 Zachování přístupu

Instalace systémů vzdálené správy

4.2 Útoky DOS

Deaktivace zařízení a jednotlivých služeb CS

4.3 Zpracování důvěrných informací

Zachycování, kopírování a/nebo ničení informací

5. Zakrývání vašich stop

Zatajení skutečnosti průniku do ČS před bezpečnostními systémy

5.1 Vymazání systémových protokolů

Mazání archivovaných dat z CS aplikací a služeb

5.2 Skrytí známek přítomnosti online

Tunelování v rámci standardních protokolů (HTTP, ICMP, TCP hlavičky atd.)

Zvažme hlavní metody a prostředky ochrany proti uvedeným síťovým hrozbám.

Sociotechnika. Nejlepší obranou proti sociálním technologiím je informovanost uživatelů. Je nutné informovat všechny zaměstnance o existenci sociálních technologií a jasně definovat typy informací, které nelze pod žádnou záminkou sdělovat po telefonu. Pokud organizace poskytuje možnosti poskytování jakýchkoli informací po telefonu (telefonní čísla, identifikační údaje atd.), pak by tyto postupy měly být jasně upraveny, např. pomocí metod autentizace volajícího.

Přímá invaze:

* systém kontroly přístupu (systémy kontroly přístupu, deník návštěv, odznaky atd.);

* fyzické zabezpečení zařízení (mechanické, elektronické zámky);

* zámek počítače, spořiče obrazovky;

* šifrování systému souborů.

Sbírání odpadků. Známá řezačka papíru (skartovačka) je nejlepší obranou proti těm, kteří se prohrabávají v odpadkových koších. Zaměstnanci musí mít k takovým strojům neomezený přístup, aby mohli zničit veškeré cenné informace. Další možnost: každý uživatel má k dispozici samostatnou přihrádku na papíry obsahující důležité informace, odkud jsou dokumenty každou noc odesílány do řezačky papíru. Zaměstnanci musí být jasně informováni o tom, jak zacházet s důvěrnými informacemi.

Hledat na WEBu. Hlavním způsobem ochrany je nezveřejňování informací. Je nutné vytvořit potřebný a dostatečný seznam informací, které mají být zveřejněny na veřejných zdrojích na internetu. Přebytečné údaje o společnosti mohou útočníkovi „pomoci“ v realizaci jeho záměrů. Za šíření důvěrných informací musí odpovídat zaměstnanci. Veřejné informace by měly být pravidelně kontrolovány, a to buď interně, nebo prostřednictvím třetích stran.

Prostudujte si WHOIS. Neexistuje žádná obecná obrana proti tomu, aby útočník získal vaše přihlašovací údaje. Existují doporučení, podle kterých by informace v příslušných databázích měly být co nejpřesnější a nejvěrohodnější. To umožňuje správcům různých společností bezproblémově komunikovat mezi sebou a pomáhat najít narušitele.

Studium zón DNS. Nejprve musíte zkontrolovat, zda na serveru DNS nedochází k úniku dat, ke kterému dochází kvůli přítomnosti zbytečných informací. Takovými informacemi mohou být názvy obsahující název operačních systémů, HINFO nebo TXT záznamy. Za druhé, server DNS musí být správně nakonfigurován, aby omezoval přenosy zón. Za třetí, musíte nakonfigurovat okrajový směrovač tak, aby k portu 53 (TCP a UDP) měly přístup pouze záložní servery DNS, které se synchronizují s centrálním serverem. Měli byste také použít oddělení externích a interních serverů DNS. Interní server je nakonfigurován tak, aby překládal pouze názvy interních sítí, a pravidla předávání se používají k překladu názvů externích sítí. To znamená, že externí server DNS by neměl „vědět“ nic o vnitřní síti.

Vyhledávejte aktivní zařízení a sledujte trasy. Metodou ochrany je instalace a konfigurace firewallů pro filtrování paketů takovým způsobem, aby byly odfiltrovány požadavky z programů používaných útočníkem. Například blokování požadavků ICMP z nedůvěryhodných zdrojů velmi ztíží sledování.

Skenování portů. První a nejdůležitější věcí je uzavřít všechny nepoužívané porty. Pokud například nepoužíváte TELNET, musíte zavřít odpovídající port. Při nasazování nového systému musíte předem znát porty, které používá, a podle potřeby je otevřít. Ve zvláště důležitých systémech se doporučuje odstranit programy odpovídající nepotřebným službám. Za nejlepší nastavení systému je považováno takové, ve kterém je minimální počet nainstalovaných služeb a nástrojů. Za druhé, musíte nezávisle otestovat svůj vlastní systém na průnik, čímž předem určíte akce vetřelce. Pro ochranu před pokročilejšími skenery se doporučuje používat paketové filtry s monitorováním stavu systému. Takové filtry zkoumají protokolové pakety a propouštějí pouze ty, které odpovídají zavedeným relacím.

Obecná doporučení proti skenování jsou včasné používání bezpečnostních balíčků, používání systémů detekce narušení (IDS) a systémů prevence narušení (IPS) pro síť a hostitele a jejich včasná aktualizace.

Přetečení zásobníku. Způsoby ochrany proti tomuto typu útoku lze rozdělit do dvou kategorií.

  • 1. Metody, které správci systému a bezpečnostní pracovníci používají při provozu, konfiguraci a údržbě systémů: včasná aplikace záplat do systémů, sledování aktualizací nainstalovaných produktů, servisních balíčků pro ně, odstraňování nepotřebných programů a služeb, sledování a filtrování příchozího/odchozího provozu, nastavení nespustitelného zásobníku. Mnoho IDS je schopno detekovat útoky z přetečení paměti na základě signatur.
  • 2. Metody používané vývojáři softwaru v procesu tvorby programů: eliminace programátorských chyb kontrolou dostupného paměťového prostoru, množství vstupních informací procházejících aplikací. Zdržet se používání problematických funkcí z bezpečnostního hlediska; kompilace programů pomocí speciálních nástrojů.

Výše uvedené metody pomáhají minimalizovat počet útoků na přetečení zásobníku, ale nezaručují úplné zabezpečení systému.

Útoky na hesla. První a nejdůležitější věcí jsou „silná“ hesla. Jedná se o hesla, která mají minimálně 9 znaků a obsahují speciální znaky. Další je pravidelná změna hesel. Aby to fungovalo správně, doporučuje se vyvinout politiku hesel přizpůsobenou konkrétní organizaci a seznámit s jejím obsahem všechny uživatele. Bylo by dobré poskytnout zaměstnancům konkrétní pokyny pro vytváření hesel. Za druhé se doporučuje používat systémy s vestavěnou kontrolou „slabých“ hesel. Pokud taková kontrola neexistuje, měl by být nasazen další software, který provádí podobnou funkci. Nejúčinnějším způsobem je odmítat hesla a používat autentizační systémy (smart karty atd.). Doporučuje se pravidelně provádět testovací „breaky“ vlastních hesel. Je dobrým zvykem chránit hashované soubory hesel i jejich stínové kopie.

Útoky na WEB aplikace. Pro ochranu před krádeží účtu je nutné zobrazit stejnou chybu na obrazovce, když zadáte nesprávné přihlašovací jméno nebo heslo. Útočníkovi tak bude obtížné uhodnout vaše ID nebo heslo. Nejlepší ochranou proti útokům typu snooping připojení je hašování přenášených informací o připojení, dynamická změna ID relace a ukončení neaktivní relace. Nejnebezpečnějšími útoky jsou SQL injection do aplikace. Ochranou proti nim je vývoj WEB aplikací tak, aby dokázaly pečlivě filtrovat uživatelsky zadaná data. Aplikace by neměla slepě důvěřovat vstupním informacím, protože mohou obsahovat znaky, které lze použít k úpravě příkazů SQL. Aplikace musí před zpracováním požadavku uživatele odstranit speciální znaky.

Je třeba poznamenat, že dnes se aktivně rozvíjí směr WAF (Web Application Firewall) - firewall na aplikační úrovni, který poskytuje komplexní metody ochrany WEB zdrojů. Bohužel jsou tato řešení dostupná především pouze velkým společnostem kvůli jejich vysoké ceně.

Čichání. Prvním je šifrování dat přenášených po síti. Používají se k tomu protokoly HTTPS, SSH, PGP, IPSEC. Druhým je pečlivé zacházení s bezpečnostními certifikáty a ignorování pochybných certifikátů. Použití moderních přepínačů, které umožňují konfigurovat filtrování MAC na portech a implementovat statickou tabulku ARP. Používejte VLAN.

IP spoofing. Tuto hrozbu lze minimalizovat pomocí následujících opatření.

  • 1. Kontrola přístupu. Paketové filtry jsou instalovány na hranici sítě, aby odfiltrovaly veškerý externí síťový provoz, kde zdrojová adresa v paketech je jednou z interních síťových adres.
  • 2. Filtrování RFC2827. Spočívá v odříznutí odchozího interního síťového provozu, ve kterém zdrojová adresa neuvádí žádnou z IP adres vaší organizace.
  • 3. Zavedení dalších typů autentizace (dvoufaktorové) a kryptografického šifrování činí takové útoky zcela neúčinnými.

Zachycení komunikační relace. Proti tomuto typu útoku lze účinně bojovat pouze pomocí kryptografie. Může se jednat o protokol SSL, VPN sítě atd. U nejkritičtějších systémů je vhodné použít šifrování v interních sítích. Útočník, který zachytí provoz ze šifrované relace, z ní nebude moci získat žádné cenné informace.

DOS útoky. Abychom popsali prostředky ochrany před útoky DOS, uvažujme o jejich klasifikaci. Tyto útoky obecně spadají do dvou kategorií: ukončení služby a vyčerpání zdrojů (tabulka 5). Ukončení služeb je selhání nebo vypnutí konkrétního serveru používaného v síti. Vyčerpání zdrojů je vynaložení počítačových nebo síťových zdrojů, aby uživatelé nemohli získat napadenou službu. Oba typy útoků lze provádět lokálně nebo vzdáleně (přes síť).

Ochrana před ukončením lokálních služeb: aktuální bezpečnostní záplaty pro lokální systémy, pravidelná oprava chyb, diferenciace přístupových práv, používání programů pro kontrolu integrity souborů.

Ochrana před vyčerpáním místních zdrojů: uplatnění principu nejmenšího privilegia při přidělování přístupových práv, zvýšení systémových zdrojů (paměť, rychlost procesoru, šířka pásma komunikace atd.), použití IDS.

Ochrana proti vzdálenému ukončení služeb: aplikace záplat, rychlá odezva.

Nejlepší obranou proti vzdálenému vyčerpání zdrojů je rychlá reakce na útok. K tomu mohou pomoci moderní systémy IDS a spolupráce s poskytovatelem. Stejně jako v předchozích odstavcích by měly být systémy neprodleně aktualizovány a opraveny. Používejte funkce proti falšování. Omezte objem provozu od poskytovatele. Pro nejkritičtější systémy je nutné mít dostatečnou šířku pásma a redundantní komunikační spojení.

Zachování přístupu. Viry a trojské koně. Nejlepší ochranou je účinný antivirový software, který funguje jak na úrovni uživatele, tak na úrovni sítě. Pro zajištění vysoké úrovně zabezpečení proti těmto hrozbám jsou vyžadovány pravidelné aktualizace antivirového softwaru a signatury známých virů. Druhým krokem je získání nejnovějších aktualizací operačního systému a konfigurace zásad zabezpečení aplikací v souladu s aktuálními doporučeními jejich vývojářů. Je nutné školit uživatele v dovednostech „bezpečné“ práce na internetu a s e-mailem. Ochrana proti ROOTKIT je zajištěna politikami řízení přístupu, antivirovým softwarem, používáním návnad a systémů detekce narušení.

Zakrývání stop. Po útoku se útočník obvykle snaží vyhnout detekci bezpečnostními administrátory. Pro tyto účely změní nebo odstraní soubory protokolu, které ukládají historii akcí pachatele. Vytvoření účinné ochrany, která zabrání útočníkovi upravovat soubory protokolu, je kritickým požadavkem na zabezpečení. Množství úsilí, které je třeba vynaložit na ochranu registračních informací daného systému, závisí na jeho hodnotě. Prvním krokem k zajištění integrity a užitečnosti souborů protokolu je povolení protokolování na kritických systémech. Aby se předešlo situaci, kdy se v případě zásahu vyšší moci ukáže, že jsou protokoly zakázány, je nutné vytvořit bezpečnostní politiku, která by upravovala postupy pro správu protokolů. Doporučuje se, aby byly systémy pravidelně kontrolovány, aby bylo zajištěno dodržování těchto zásad. Dalším nezbytným opatřením k ochraně log souborů je rozlišení přístupových práv k těmto souborům. Účinnou metodou ochrany registračních informací je instalace vyhrazeného serveru pro protokolování událostí, který zajistí odpovídající úroveň zabezpečení. Dobré jsou také takové metody ochrany, jako je šifrování souborů protokolu a povolení zápisu pouze na konec souboru. Využití systémů IDS. Proti tunelování se můžete chránit na dvou místech: na cílovém počítači a v síti. Na cílovém počítači je ochrana zajištěna přístupovými právy, antivirovým softwarem, zabezpečenou konfigurací a instalací aktualizací. Na úrovni sítě lze tunelování detekovat systémy detekce narušení.

Hlavní metody ochrany proti síťovým útokům byly uvedeny výše. Na jejich základě jsou budována komplexní řešení, která mohou kombinovat řadu funkcí ochrany informací a být použita v konkrétním modulu síťové infrastruktury.

Postup pro detekci síťových útoků.

1. Klasifikace síťových útoků

1.1. Čichadla paketů

Sniffer paketů je aplikační program, který používá síťovou kartu pracující v promiskuitním režimu ( v tomto režimu jsou všechny pakety přijaté fyzickými kanály odeslány síťovým adaptérem do aplikace ke zpracování). V tomto případě sniffer zachytí všechny síťové pakety, které jsou přenášeny přes určitou doménu.

1.2. IP spoofing

IP spoofing nastává, když se hacker, uvnitř nebo vně systému, vydává za oprávněného uživatele. To lze provést dvěma způsoby. Za prvé, hacker může použít IP adresu, která je v rozsahu autorizovaných IP adres, nebo autorizovanou externí adresu, která má povolený přístup k určitým síťovým zdrojům. IP spoofing útoky jsou často výchozím bodem pro další útoky. Klasickým příkladem je DoS útok, který začíná adresou někoho jiného a skrývá skutečnou identitu hackera.

Typicky je IP spoofing omezen na vkládání nepravdivých informací nebo škodlivých příkazů do normálního toku dat přenášených mezi klientskou a serverovou aplikací nebo přes komunikační kanál mezi peer zařízeními. Pro obousměrnou komunikaci musí hacker změnit všechny směrovací tabulky tak, aby směrovaly provoz na falešnou IP adresu. Někteří hackeři se však ani nesnaží získat odpověď z aplikací. Pokud je hlavním úkolem získat ze systému důležitý soubor, na odpovědích aplikací nezáleží.

Pokud se hackerovi podaří změnit směrovací tabulky a nasměrovat provoz na falešnou IP adresu, hacker obdrží všechny pakety a bude na ně moci reagovat, jako by byl oprávněným uživatelem.

1.3. Odmítnutí služby ( Denial of Service - DoS)

DoS je nejznámější formou hackerských útoků. Proti těmto typům útoků je nejtěžší vytvořit 100% ochranu.

Nejznámější typy DoS:

  • TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
  • Tribe Flood Network 2000 ( TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trojice.

DoS útoky se liší od jiných typů útoků. Nejsou zaměřeny na získání přístupu do sítě nebo získání jakýchkoli informací z této sítě. Útok DoS znepřístupní síť pro běžné použití tím, že překročí přijatelné limity sítě, operačního systému nebo aplikace.

Při použití některých serverových aplikací (například webový server nebo FTP server) DoS útoky mohou být tak jednoduché, jako převzít všechna připojení dostupná těmto aplikacím a udržet je zaneprázdněné, což zabrání obsluhování běžných uživatelů. DoS útoky mohou využívat běžné internetové protokoly, jako jsou TCP a ICMP ( Internet Control Message Protocol). Většina útoků DoS nespoléhá na softwarové chyby nebo bezpečnostní díry, ale na obecné slabiny v architektuře systému. Některé útoky ochromují výkon sítě tím, že ji zahlcují nechtěnými a nepotřebnými pakety nebo zavádějícími informacemi o aktuálním stavu síťových zdrojů. Tomuto typu útoku je obtížné zabránit, protože vyžaduje koordinaci s ISP. Pokud provoz určený k zahlcení vaší sítě nelze u poskytovatele zastavit, na vstupu do sítě to již nebudete moci udělat, protože bude obsazena veškerá šířka pásma. Pokud je tento typ útoku prováděn současně prostřednictvím mnoha zařízení, jedná se o distribuovaný DoS ( DDoS - distribuovaný DoS).

1.4. Útoky na hesla

Hackeři mohou provádět útoky na hesla pomocí řady metod, jako je hrubá síla ( útok hrubou silou), trojský kůň, IP spoofing a packet sniffing. I když lze přihlašovací jméno a heslo často získat pomocí falšování IP adres a sniffování paketů, hackeři se často snaží uhodnout heslo a přihlásit se pomocí více pokusů o přístup. Tento přístup se nazývá jednoduchý výčet (útok hrubou silou). Takový útok často používá speciální program, který se pokouší získat přístup k veřejnému zdroji ( například na server). Pokud v důsledku toho hacker získá přístup ke zdrojům, získá přístup k právům běžného uživatele, jehož heslo bylo uhodnuto. Pokud má tento uživatel významná přístupová práva, může si hacker vytvořit „průchod“ pro budoucí přístup, který zůstane platný, i když uživatel změní své heslo a přihlašovací jméno.

Další problém nastává, když uživatelé používají stejné ( i když je to velmi dobré) heslo pro přístup do mnoha systémů: firemních, osobních a internetových systémů. Protože heslo je pouze tak silné jako nejslabší hostitel, hacker, který se heslo dozví prostřednictvím tohoto hostitele, získá přístup ke všem ostatním systémům, které používají stejné heslo.

1.5. Man-in-the-Middle útoky

Pro útok typu Man-in-the-Middle potřebuje hacker přístup k paketům přenášeným po síti. Takový přístup ke všem paketům přenášeným od poskytovatele do jakékoli jiné sítě může získat např. zaměstnanec tohoto poskytovatele. Pro tento typ útoku se často používají sniffery paketů, transportní protokoly a směrovací protokoly. Útoky jsou prováděny s cílem ukrást informace, zachytit aktuální relaci a získat přístup ke zdrojům privátní sítě, analyzovat provoz a získat informace o síti a jejích uživatelích, provádět DoS útoky, zkreslovat přenášená data a zadávat neoprávněné informace do síťových relací.

1.6. Útoky na aplikační úrovni

Útoky na úrovni aplikace lze provádět několika způsoby. Nejběžnějším z nich je zneužití slabých stránek v serverovém softwaru ( sendmail, HTTP, FTP). Využitím těchto slabin mohou hackeři získat přístup k počítači jako uživatel spouštějící aplikaci ( obvykle se nejedná o jednoduchého uživatele, ale o privilegovaného správce s přístupovými právy k systému). Informace o útocích na úrovni aplikací jsou široce zveřejňovány, aby správci mohli problém vyřešit pomocí opravných modulů ( náplasti). Hlavním problémem útoků na aplikační vrstvě je to, že často používají porty, které mohou procházet firewallem. Například hacker využívající známou slabinu webového serveru často použije port 80 při útoku TCP. Protože webový server poskytuje uživatelům webové stránky, musí brána firewall umožnit přístup k tomuto portu. Z pohledu firewallu je útok považován za standardní provoz na portu 80.

1.7. Síťová inteligence

Síťová inteligence označuje sběr síťových informací pomocí veřejně dostupných dat a aplikací. Při přípravě útoku proti síti se o ní hacker obvykle snaží získat co nejvíce informací. Průzkum sítě se provádí ve formě DNS dotazů, ping sweepů a skenování portů. Dotazy DNS vám pomohou pochopit, kdo vlastní konkrétní doménu a jaké adresy jsou této doméně přiřazeny. Testování echa ( ping sweep) adresy odhalené DNS vám umožňují vidět, kteří hostitelé skutečně běží v daném prostředí. Po obdržení seznamu hostitelů hacker pomocí nástrojů pro skenování portů sestaví úplný seznam služeb podporovaných těmito hostiteli. Nakonec hacker analyzuje vlastnosti aplikací běžících na hostitelích. V důsledku toho se získají informace, které lze použít k hackování.

1.8. Porušení důvěry

Tento typ akce není "Záchvat" nebo "útok". Představuje škodlivé zneužití důvěryhodných vztahů, které existují v síti. Příkladem je systém nainstalovaný na vnější straně brány firewall, který má vztah důvěryhodnosti se systémem nainstalovaným uvnitř brány firewall. Pokud dojde ke kompromitaci externího systému, hacker může použít vztah důvěryhodnosti k proniknutí do systému chráněného bránou firewall.

1.9. Přesměrování portů

Přesměrování portů je forma zneužití důvěry, při které se kompromitovaný hostitel používá k procházení provozu přes bránu firewall, která by byla jinak odmítnuta. Příkladem aplikace, která může takový přístup poskytnout, je netcat.

1.10. Neautorizovaný přístup

Neoprávněný přístup nelze považovat za samostatný typ útoku. Většina síťových útoků se provádí za účelem získání neoprávněného přístupu. Aby mohl hacker uhodnout přihlášení k telnetu, musí nejprve dostat do svého systému výzvu k telnetu. Po připojení k portu telnet se na obrazovce objeví zpráva "k použití tohoto zdroje je vyžadováno oprávnění" (K použití těchto zdrojů potřebujete oprávnění). Pokud se poté bude hacker nadále pokoušet o přístup, bude zvážen "neoprávněný". Zdroj takových útoků může být buď uvnitř sítě, nebo mimo ni.

1.11. Viry a aplikace jako "Trojský kůň"

Klientské pracovní stanice jsou velmi citlivé na viry a trojské koně. "Trojský kůň"- toto není vložka programu, ale skutečný program, který vypadá jako užitečná aplikace, ale ve skutečnosti plní škodlivou roli.

2. Metody boje proti síťovým útokům

2.1. Hrozbu sniffování paketů můžete zmírnit pomocí následujících nástrojů:

2.1.1. Autentizace – Silná autentizace je první obranou proti sniffování paketů. Pod "silný" Chápeme, že tuto metodu ověřování je obtížné obejít. Příkladem takové autentizace jsou jednorázová hesla ( OTP – Jednorázová hesla). OTP je technologie dvoufaktorové autentizace, která kombinuje to, co máte, s tím, co znáte. Pod "kartou" ( žeton) znamená hardware nebo software, který generuje ( náhodně) jedinečné jednorázové jednorázové heslo. Pokud hacker zjistí toto heslo pomocí snifferu, bude tato informace k ničemu, protože v tom okamžiku bude heslo již použito a vyřazeno. Tento způsob boje proti šňupání je účinný pouze proti zachycení hesla.

2.1.2. Přepínaná infrastruktura – Dalším způsobem, jak bojovat proti odposlechu paketů v síťovém prostředí, je vytvoření přepínané infrastruktury, kde hackeři mohou přistupovat pouze k provozu přicházejícím na port, ke kterému jsou připojeni. Přepínaná infrastruktura sice neodstraňuje hrozbu sniffingu, ale výrazně snižuje její závažnost.

2.1.3. Anti-sniffers – Třetím způsobem boje proti snifferu je instalace hardwaru nebo softwaru, který rozpozná sniffery běžící ve vaší síti. Tyto nástroje nemohou zcela eliminovat hrozbu, ale stejně jako mnoho jiných nástrojů zabezpečení sítě jsou součástí celkového systému ochrany. Tzv "anti-čichači" měřit doby odezvy hostitele a určit, zda hostitelé musí zpracovávat "další" provoz.

2.1.4. Kryptografie – Nejúčinnější způsob boje proti odposlechu paketů nezabrání zachycení ani nerozpozná práci snifferů, ale činí tuto práci zbytečnou. Pokud je komunikační kanál kryptograficky zabezpečený, znamená to, že hacker nezachycuje zprávu, ale šifrovaný text (tedy nesrozumitelnou sekvenci bitů).

2.2. Hrozbu spoofingu lze zmírnit ( ale není odstraněn) pomocí následujících opatření:

2.2.1. Řízení přístupu – Nejjednodušší způsob, jak zabránit falšování IP adres, je správně nakonfigurovat řízení přístupu. Aby se snížila účinnost falšování IP adres, je řízení přístupu nakonfigurováno tak, aby odmítalo veškerý provoz přicházející z externí sítě se zdrojovou adresou, která by se měla nacházet uvnitř vaší sítě. To pomáhá bojovat proti falšování IP, kdy jsou autorizovány pouze interní adresy. Pokud jsou autorizovány i některé externí síťové adresy, tato metoda se stane neúčinnou.

2.2.2. Filtrování RFC 2827 – zastavení pokusů o falšování sítí jiných lidí ze strany uživatelů podnikové sítě. K tomu je nutné odmítnout veškerý odchozí provoz, jehož zdrojová adresa není jednou z IP adres Banky. Tento typ filtrování, známý jako „RFC 2827“, může také provádět ISP ( ISP). V důsledku toho je odmítnut veškerý provoz, který nemá zdrojovou adresu očekávanou na konkrétním rozhraní.

2.2.3. Nejúčinnější metoda pro boj s IP spoofingem je stejná jako pro packet sniffing: musíte útok učinit zcela neúčinným. IP spoofing může fungovat pouze v případě, že je ověřování založeno na IP adresách. Zavedení dalších metod ověřování proto činí tento typ útoku zbytečným. Nejlepší typ dodatečné autentizace je kryptografický. Pokud to není možné, dobré výsledky může poskytnout dvoufaktorová autentizace pomocí jednorázových hesel.

2.3. Hrozbu útoků DoS lze snížit následujícími způsoby:

2.3.1. Funkce proti falšování – Správná konfigurace funkcí proti falšování na vašich routerech a firewallech pomůže snížit riziko DoS. Tyto funkce by měly minimálně zahrnovat filtrování RFC 2827. Pokud hacker nedokáže zamaskovat svou pravou identitu, je nepravděpodobné, že by provedl útok.

2.3.2. Funkce Anti-DoS – Správná konfigurace funkcí anti-DoS na směrovačích a firewallech může omezit účinnost útoků. Tyto funkce omezují počet napůl otevřených kanálů v daném okamžiku.

2.3.3. Omezení objemu dopravy ( omezení rychlosti provozu) – dohoda s poskytovatelem ( ISP) o omezení objemu dopravy. Tento typ filtrování umožňuje omezit množství nekritického provozu procházejícího sítí. Běžným příkladem je omezení množství provozu ICMP, který se používá pouze pro diagnostické účely. Útoky ( D) DoS často používá ICMP.

2.3.4. Blokování IP adres – po analýze DoS útoku a identifikaci rozsahu IP adres, ze kterých je útok prováděn, kontaktujte svého poskytovatele, aby je zablokoval.

2.4. Útokům na hesla se lze vyhnout tím, že nebudete používat hesla ve formátu prostého textu. Jednorázová hesla a/nebo kryptografická autentizace mohou hrozbu takových útoků prakticky eliminovat. Ne všechny aplikace, hostitelé a zařízení podporují výše uvedené metody ověřování.

Při používání běžných hesel je potřeba vymyslet heslo, které by bylo těžké uhodnout. Minimální délka hesla musí být alespoň osm znaků. Heslo musí obsahovat velká písmena, čísla a speciální znaky ( #, %, $ atd.). Nejlepší hesla je těžké uhodnout a těžko si je zapamatovat, což nutí uživatele zapisovat si hesla na papír.

2.5. Proti útokům typu Man-in-the-Middle lze účinně bojovat pouze pomocí kryptografie. Pokud hacker zachytí data ze šifrované relace, na jeho obrazovce se neobjeví zachycená zpráva, ale nesmyslná sada znaků. Všimněte si, že pokud hacker získá informace o kryptografické relaci ( například klíč relace), to může umožnit útok Man-in-the-Middle i v šifrovaném prostředí.

2.6. Útoky na úrovni aplikací nelze zcela eliminovat. Hackeři neustále objevují a zveřejňují nové zranitelnosti v aplikačních programech na internetu. Nejdůležitější je dobrá správa systému.

Opatření, která můžete provést, abyste snížili svou zranitelnost vůči tomuto typu útoku:

  • čtení a/nebo analýza souborů protokolu operačního systému a souborů protokolu sítě pomocí speciálních analytických aplikací;
  • včasná aktualizace verzí operačních systémů a aplikací a instalace nejnovějších opravných modulů ( náplasti);
  • použití systémů detekce útoků ( IDS).

2.7. Úplně se zbavit síťové inteligence je nemožné. Pokud zakážete ICMP echo a echo response na okrajových směrovačích, zbavíte se testování pingem, ale přijdete o data potřebná k diagnostice selhání sítě. Kromě toho můžete skenovat porty bez předchozího testování pingem. To bude trvat déle, protože budete muset skenovat neexistující IP adresy. Systémy IDS na úrovni sítě a hostitele obvykle dobře informují správce o probíhajícím průzkumu sítě, což jim umožňuje lépe se připravit na nadcházející útok a informovat ISP ( ISP), na jehož síti je nainstalován systém vykazující nadměrnou zvědavost.

2.8. Riziko porušení důvěry lze snížit přísnější kontrolou úrovní důvěry ve vaší síti. Systémy umístěné mimo firewall by nikdy neměly mít absolutní důvěru od systémů chráněných firewallem. Vztahy důvěryhodnosti by měly být omezeny na konkrétní protokoly a pokud možno ověřeny jinými parametry než IP adresami.

2.9. Hlavním způsobem boje proti přesměrování portů je použití modelů silné důvěry ( viz odstavec 2.8 ). Kromě toho může hostitelský systém IDS zabránit hackerovi v instalaci jeho softwaru na hostitele ( HIDS).

2.10. Metody boje proti neoprávněnému přístupu jsou poměrně jednoduché. Zde jde především o to, aby se snížila nebo úplně eliminovala schopnost hackera získat přístup do systému pomocí neautorizovaného protokolu. Jako příklad zvažte zabránění hackerům v přístupu k portu telnet na serveru, který poskytuje webové služby externím uživatelům. Bez přístupu k tomuto portu na něj hacker nebude moci zaútočit. Pokud jde o firewall, jeho hlavním úkolem je zabránit nejjednodušším pokusům o neoprávněný přístup.

2.11. Boj proti virům a trojským koním se provádí pomocí účinného antivirového softwaru, který funguje na úrovni uživatele i na úrovni sítě. Antivirové produkty detekují většinu virů a trojských koní a zastavují jejich šíření.

3. Algoritmus akcí při detekci síťových útoků

3.1. Většina síťových útoků je blokována automaticky instalovanými nástroji pro zabezpečení informací ( firewally, důvěryhodné spouštěcí nástroje, síťové směrovače, antivirové nástroje atd.).

3.2. Mezi útoky, které vyžadují zásah personálu k jejich zablokování nebo snížení závažnosti následků, patří DoS útoky.

3.2.1. DoS útoky jsou detekovány analýzou síťového provozu. Začátek útoku je charakterizován „ zatloukání» komunikační kanály využívající pakety náročné na zdroje s falešnými adresami. Takový útok na webovou stránku online bankovnictví komplikuje přístup legitimním uživatelům a webový zdroj se může stát nedostupným.

3.2.2. Pokud je detekován útok, správce systému provede následující akce:

  • ručně přepne router na záložní kanál a zpět, aby identifikoval méně zatížený kanál (kanál s širší šířkou pásma);
  • identifikuje rozsah IP adres, ze kterých je útok veden;
  • odešle poskytovateli požadavek na zablokování IP adres ze zadaného rozsahu.

3.3. Útok DoS se obvykle používá k zamaskování úspěšného útoku na klientské zdroje, aby bylo obtížné jej odhalit. Proto je při detekci DoS útoku nutné analyzovat nejnovější transakce, abychom identifikovali neobvyklé transakce, zablokovali je (pokud je to možné) a kontaktovali klienty alternativním kanálem pro potvrzení transakcí.

3.4. Pokud jsou od klienta obdrženy informace o neoprávněném jednání, jsou zaznamenány všechny dostupné důkazy, je provedeno interní šetření a je podána žádost orgánům činným v trestním řízení.

Stáhnout soubor ZIP (24151)

Pokud byly dokumenty užitečné, dejte jim prosím „To se mi líbí“:



Oblíbené v kategorii:
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní