El archivo que contiene la configuración de seguridad se llama . Configuraciones de seguridad locales. Uso del complemento Plantillas de seguridad

La invención se relaciona con la tecnología de la comunicación y puede usarse en sistemas de comunicación tecnológicos. El resultado técnico es aumentar la confiabilidad de la comunicación. Para hacer esto, el dispositivo incluye una interfaz de comunicación de proceso (114) para la comunicación a lo largo del bucle de comunicación de proceso de acuerdo con el protocolo de comunicación de proceso. El controlador (106) se conecta a la interfaz de comunicación del proceso (114). El almacén de reglas (116) está conectado al controlador (106) y tiene al menos una regla de transmisión de paquetes de comunicación que se basa en un protocolo de comunicación. El controlador (106) aplica al menos una regla de transmisión de paquete de comunicación de tecnología al al menos un paquete de comunicación de tecnología recibido desde la interfaz de comunicación de tecnología (114), y genera información de evento cuando el paquete de comunicación de tecnología no satisface al menos un paquete de comunicación de tecnología. comunicación tecnológica de regla de paquetes. 4 n. y 12 salario mosca, 6 enfermos.

Lo último

Las plantas de proceso modernas se utilizan para proporcionar y/o producir muchos productos y materiales utilizados todos los días. Ejemplos de tales plantas de procesamiento incluyen plantas de refinación de petróleo, plantas farmacéuticas, plantas de procesamiento químico, plantas de pulpa y otras plantas de procesamiento. En tales instalaciones, la red de medición y control de procesos puede incluir miles o incluso decenas de miles de dispositivos de campo diferentes que se comunican con el panel de control, y a veces entre sí, para controlar el proceso. Suponiendo que las fallas en un dispositivo de campo determinado pueden hacer que el proceso sea incontrolable, las características físicas y las comunicaciones eléctricas de los dispositivos de campo generalmente están sujetas a especificaciones estrictas.

Tradicionalmente, los dispositivos de campo en una instalación de proceso determinada normalmente han podido comunicarse a través de un segmento o bucle de control de proceso con el panel de control y/u otros dispositivos de campo a través de conexiones cableadas. Por ejemplo, el protocolo de comunicación de procesos cableado se conoce como protocolo de transmisor remoto direccionable por bus (HART®). La comunicación HART ® es uno de los principales protocolos de comunicación utilizados en la tecnología de procesos. Recientemente, se ha vuelto posible, y potencialmente deseable en algunos casos, permitir que las instalaciones de procesos accedan a Internet. Si bien esta característica brinda la capacidad de interactuar con una planta de proceso desde prácticamente cualquier computadora conectada en cualquier parte del mundo, también brinda la posibilidad de que un atacante, como un pirata informático, intente afectar la planta de proceso sin viajar a la ubicación física. de la planta de proceso.

Otra mejora reciente en cuanto a instalaciones tecnológicas es el uso de comunicaciones inalámbricas. Esta comunicación inalámbrica simplifica los diseños de plantas de proceso en el sentido de que ya no es necesario tender cables largos a varios dispositivos de campo. Además, uno de esos protocolos inalámbricos, WirelessHART (IEC 62591), amplía el protocolo HART ® tradicional y proporciona velocidades de datos significativamente mayores. Por ejemplo, WirelessHART admite transmisión de datos de hasta 250 Kbps. Las partes relevantes de la especificación Wireless HART® incluyen: HCF_Spec 13, versión 7.0; Especificación HART 65: especificación de capa física inalámbrica; Especificación HART 75: especificación de la capa de enlace TDMA (TDMA se refiere al acceso múltiple por división de tiempo); Especificación HART 85: especificación de gestión de red; Especificación HART 155: especificación de comando inalámbrico; y la especificación HART 290, una especificación de dispositivo inalámbrico. Si bien las comunicaciones inalámbricas brindan muchos beneficios para las instalaciones de procesos, también brindan la posibilidad de conectarse a dispositivos cuando están físicamente cerca de la instalación de procesos y la capacidad de impactar la red de comunicación inalámbrica.

Suponiendo la conectividad moderna de las instalaciones tecnológicas, ahora es vital que las comunicaciones tecnológicas estén protegidas contra intrusiones y actividades maliciosas. Esto se aplica a instalaciones tecnológicas que pueden estar conectadas a Internet, instalaciones tecnológicas que emplean comunicaciones de tecnología inalámbrica o ambas. En consecuencia, proporcionar una instalación de proceso con la capacidad de detectar y prevenir intrusiones en un bucle de comunicación de proceso ayudará aún más a proteger las diversas instalaciones de proceso que dependen de dicha comunicación de proceso.

La esencia de la invención.

El dispositivo de comunicación de procesos incluye una interfaz de comunicación de procesos para comunicarse a lo largo de un bucle de comunicación de procesos de acuerdo con un protocolo de comunicación de procesos. El controlador se conecta a la interfaz de comunicación del proceso. El almacén de reglas está conectado al controlador y tiene al menos una regla de transmisión de paquetes de comunicación que se basa en el protocolo de comunicación. El controlador aplica al menos una regla de paquete de comunicación a al menos un paquete de comunicación recibido desde la interfaz de comunicación, y genera información de evento cuando el paquete de comunicación no satisface al menos una regla de transmisión de paquete.

Breve descripción de los dibujos.

Higo. 1 es una vista esquemática de un sistema de comunicación tecnológica de acuerdo con una realización de la presente invención.

Higo. La Figura 2 es una vista esquemática de un sistema de control y comunicación de procesos al que las realizaciones de la presente invención son altamente aplicables.

Higo. 3 es una vista esquemática de otro entorno de control y comunicación de tecnología con el que las realizaciones de la presente invención son particularmente útiles.

Higo. 4 es una vista esquemática de un dispositivo de protección de comunicación de procesos de acuerdo con una realización de la presente invención.

Higo. 5 es un diagrama de flujo de un método para proporcionar detección y prevención de intrusiones en una instalación de proceso de acuerdo con una realización de la presente invención.

Higo. 6 es un diagrama de flujo de un método para proporcionar detección y prevención de intrusiones en una instalación de proceso de acuerdo con otra realización de la presente invención.

Descripción detallada de realizaciones ilustrativas

Las realizaciones de la presente invención generalmente hacen un uso máximo del conocimiento específico del protocolo HART® (tanto cableado como inalámbrico) y/o descripciones de dispositivos (DD) HART® para monitorear el tráfico de la red de comunicación de proceso que ingresa al bucle de comunicación de proceso en busca de anomalías. el circuito de comunicación tecnológica o incluso cruzar el circuito de comunicación tecnológica. Si bien las realizaciones de la presente invención se describen generalmente en relación con los bucles de comunicación de procesos HART®, las realizaciones de la presente invención se pueden practicar con cualquier protocolo de comunicación de procesos adecuado que admita descripciones de dispositivos.

El protocolo HART ® tiene una capa física híbrida que consta de señales de comunicación digitales superpuestas a una señal analógica estándar de 4-20 mA. La velocidad de transferencia de datos es de aproximadamente 1,2 Kbps. La comunicación HART ® es uno de los principales protocolos de comunicación en la industria de procesos. Tanto los métodos de comunicación HART® inalámbricos como los cableados comparten esencialmente la misma capa de aplicación. Además, el contenido de los comandos para comunicaciones HART® tanto inalámbricas como por cable es idéntico. En consecuencia, aunque las capas físicas pueden ser diferentes, en la capa de aplicación los dos protocolos de comunicación tecnológica son muy similares.

La seguridad de la red de comunicación de procesos a través de la red HART® es importante y se está volviendo más importante a medida que el tráfico de la red HART® ahora se puede transmitir a través de redes TCP/IP, así como de redes inalámbricas. Se ha proporcionado cierta seguridad de red a través de dispositivos tales como los vendidos bajo la marca Model 1420 Wireless Gateway de Emerson Process Management de Chanhassen, Minnesota. Este dispositivo brinda la capacidad de autenticar al remitente y al destinatario, confirmar que los datos son válidos, cifrar los datos de comunicación del proceso y administrar automáticamente los cambios periódicos en las claves de cifrado. Si bien la seguridad de comunicación de procesos proporcionada por el modelo 1420 es invaluable en las redes de comunicación de procesos actuales, las realizaciones de la presente invención generalmente se basan en la seguridad proporcionada por la puerta de enlace inalámbrica 1420 incorporando conocimiento adicional del protocolo HART® en sí, descripciones de dispositivos (DD) HART ® o combinaciones de los mismos. Aunque las realizaciones de la presente invención son aplicables a cualquier dispositivo que tenga acceso a comunicaciones tecnológicas, se prefiere que las realizaciones de la presente invención se implementen en un dispositivo cortafuegos, una puerta de enlace tal como una puerta de enlace inalámbrica avanzada o un dispositivo de tipo punto de acceso. .

Higo. 1 es una vista esquemática de un sistema de comunicación tecnológica 10 de acuerdo con una realización de la presente invención. El sistema 10 incluye una estación de trabajo 12 y un servidor 14 conectados comunicativamente entre sí a través de una red de área local 16 de una empresa. La red 16 se conecta a Internet 18 a través de un cortafuegos de red de área local 20. El cortafuegos de red de área local 20 es un dispositivo bien conocido que sólo permite que el tráfico TCP/IP seleccionado lo atraviese. En la realización ilustrada en la FIG. 1, el dispositivo de seguridad de comunicación de proceso 22 se conecta a la LAN 16 de la planta a través de la conexión 24 y además está conectado a los dispositivos 1-n a través del puerto 26. El dispositivo de seguridad de comunicación de proceso 22 protege los segmentos/circuitos de comunicación de proceso de actividad maliciosa que ocurre a través de Internet 18 y/ o LAN. Un procesador en el dispositivo 22 de protección de comunicación de proceso ejecuta instrucciones de software que son capaces de recibir uno o más paquetes de comunicación de proceso y probar si el paquete satisface una o más reglas, que se basan en particular en reglas de comunicación de proceso HART®, requisitos para la descripción del dispositivo o su combinación.

Higo. La Figura 2 es una vista esquemática de un sistema 50 de control y comunicación de procesos al que las realizaciones de la presente invención son altamente aplicables. Una pluralidad de estaciones de trabajo 52, 54 y 56 están conectadas entre sí a través de una LAN empresarial 16. Además, la puerta de enlace de comunicación de tecnología inalámbrica 58 también se conecta a la LAN 16 a través de la conexión 60. La estructura mostrada en la FIG. 2 es el entorno actual en el que opera el portal inalámbrico inteligente modelo 1420. La puerta de enlace 58 se comunica con uno o más dispositivos de campo 62 a través de comunicaciones WirelessHART®. Por consiguiente, las realizaciones de la presente invención se pueden poner en práctica usando un procesador u otro controlador adecuado ubicado en la puerta de enlace 58.

Higo. 3 es una vista esquemática de otro entorno de control y comunicación de tecnología con el que las realizaciones de la presente invención son particularmente útiles. En particular, una o más puertas de enlace (1-n) 70, 72 están conectadas comunicativamente a través del dispositivo 74. Cada puerta de enlace puede comunicarse con uno o más puntos de acceso. De acuerdo con una realización de la presente invención, uno de los puntos de acceso 76 está configurado, a través de hardware, software o una combinación de los mismos, para recibir paquetes de comunicación de proceso y examinar los paquetes de comunicación de proceso para determinar si la comunicación cumple con uno o más reglas que se basan en el protocolo HART®, descripciones de dispositivos o una combinación de los mismos. El punto de acceso 76 escucha datos en la red inalámbrica y examina los paquetes a medida que llegan. Como resultado de las comprobaciones, se pueden monitorear ciertos aspectos del tráfico de comunicación (dirección de origen, volumen de tráfico entrante, dispositivo conocido, dispositivo nuevo, solicitudes de agregación y otros) y se pueden proporcionar estadísticas y/o alertas a la puerta de enlace cuando se produzcan eventos. son detectados. Las realizaciones de la presente invención también incluyen el uso de múltiples puertas de enlace y puntos de acceso correspondientes para proporcionar un par redundante.

Higo. 4 es una vista esquemática de un dispositivo de protección de comunicación de procesos de acuerdo con una realización de la presente invención. El dispositivo de seguridad 100 incluye una interfaz de red 102 conectada a una red de datos, tal como una red de datos Ethernet. El puerto 102 se conecta a la capa física 104 de la interfaz de red para generar y recibir paquetes de datos de acuerdo con métodos conocidos. La capa física de interfaz de red 104 está acoplada a un controlador 106, que es preferiblemente un microprocesador que incluye, o está acoplado a, una memoria adecuada, tal como memoria de acceso aleatorio, memoria de sólo lectura, memoria flash, etc., para almacenar y ejecutar instrucciones. programas. El dispositivo de seguridad 100 también incluye preferiblemente un puerto de comunicación de tecnología por cable 108 y/o un puerto de comunicación de tecnología inalámbrica 110 acoplado a la antena 112. En realizaciones en las que el dispositivo de seguridad 100 se implementa en un punto de acceso inalámbrico, no se incluye un puerto de comunicación de tecnología por cable. requerido. Cada uno de los puertos 108, 110 puede conectarse a una interfaz 114 de comunicación de proceso HART®. La interfaz 114 permite que el controlador 106 se comunique con dispositivos externos, tales como dispositivos de campo, utilizando el conocido protocolo HART®. En algunas realizaciones, las comunicaciones HART® pueden proporcionarse a través de una red IP de modo que la capa física de interfaz de red 104 también pueda ser la fuente de paquetes HART®.

De acuerdo con una realización de la presente invención, el dispositivo de seguridad 100 incluye un almacén de reglas 116. Opcionalmente, el dispositivo de seguridad 100 puede incluir un almacén de descripción del dispositivo 118. El almacén de reglas 116 incluye memoria no volátil que almacena una o más reglas que pueden ejecutarse durante las comunicaciones del proceso HART® basándose en la comprensión subyacente del protocolo HART®. El almacén de reglas 116 permite al controlador 106 determinar si el diseño y/o el contenido de los paquetes en una red HART® son válidos. Además, se puede determinar la validez del origen y destino de los paquetes. Finalmente, se puede analizar el contenido del propio paquete para determinar si es correcto. Por ejemplo, un paquete con formato incorrecto puede tener un resultado de CRC, número de bytes, tamaño de carga útil, etc. incorrectos. Si el paquete no es válido, el dispositivo de seguridad 100 no reenviará el paquete al destinatario solicitado. Además y/o alternativamente, el dispositivo de seguridad 100 puede almacenar datos de eventos relacionados con la detección de un paquete corrupto y/o enviar un mensaje correspondiente a la parte responsable. Además, el controlador 106 puede monitorear y/o analizar datos de eventos de modo que si se detectan múltiples paquetes con formato incorrecto de una única fuente en un período de tiempo particular, el controlador 106 puede determinar que actualmente se está llevando a cabo un ataque activo. Si esto ocurre, el controlador 106 puede notificar al usuario y/o a la parte responsable que puede estar en curso un ataque, junto con detalles de la fuente sospechosa del ataque. Además, el controlador 106 puede actuar para descartar todos los paquetes de esta fuente hasta la intervención del usuario.

Como se ilustra en la FIG. 4, el dispositivo de seguridad 100 también puede incluir un almacén de descripción del dispositivo 118. Con el estado actual de la técnica de la tecnología de memoria, es económicamente factible que el almacenamiento 118 sea lo suficientemente grande como para contener descripciones de dispositivos para todos los dispositivos de campo conocidos que se comunican de acuerdo con el protocolo HART® a partir de la fecha de producción del dispositivo de seguridad 100. Además, cuando se fabrican nuevos dispositivos de comunicación HART®, el almacén de descripción del dispositivo 118 se puede actualizar dinámicamente a través del puerto de comunicación de la red de datos 102. Mantener un depósito 118 de descripciones completas de dispositivos proporciona la capacidad de realizar comprobaciones y/o pruebas adicionales en paquetes de comunicación de procesos. Por ejemplo, si un paquete de comunicación de proceso determinado es un paquete de un dispositivo de campo que, según la descripción de su dispositivo, se sabe que solo proporciona medición de temperatura, un paquete que indique la presión del proceso de dicho dispositivo de campo se considerará confuso, incluso si el Por lo demás, el paquete cumple con todas las reglas establecidas en un repositorio de 116 reglas.

Hay muchos tipos diferentes de comandos que se utilizan en el protocolo HART®. Estos tipos de comandos incluyen comandos universales, comandos generales, comandos inalámbricos, comandos de familia de dispositivos y comandos específicos de dispositivos. Con la excepción de los comandos específicos del dispositivo, se puede conocer al menos algo de conocimiento de los comandos de cada tipo a partir de la propia especificación HART®. Además, incluso los comandos específicos del dispositivo se pueden verificar cuidadosamente si el dispositivo de protección de la comunicación del proceso contiene una descripción del dispositivo relativa al dispositivo de campo específico individual.

Un ejemplo de una regla que se puede aplicar en el nivel de aplicación del paquete de protocolo HART® es el siguiente. Dado que, para una versión determinada de HART®, se conoce el número de bytes relativos a todos y cada uno de los comandos, si un paquete especifica un comando, el número conocido de bytes se puede aplicar al paquete. Incluso los comandos específicos del dispositivo pueden tener algunas reglas. En particular, se puede probar el rango de comando para determinar si está dentro de un rango válido (como 128-240 y 64768-65021). Además, se puede determinar el número total de bytes del paquete y compararlo con el contenido del campo de número de bytes para comprobar si hay una coincidencia válida.

Uno de los beneficios importantes de implementar la funcionalidad de protección de las comunicaciones de procesos en una puerta de enlace como el modelo 1420 es que la puerta de enlace conoce todos los dispositivos de campo individuales de la red. Además, la puerta de enlace tiene el beneficio adicional de tener acceso a toda la información necesaria (especialmente las claves de descifrado) para descifrar y verificar todos los paquetes HART®. Además, un dispositivo de seguridad, preferiblemente implementado en la puerta de enlace, puede crear una base de datos o una lista de destinatarios/dispositivos inalámbricos conocidos y garantizar que se envíen/reenvíen mensajes sólo para dichos dispositivos. Además, el dispositivo de seguridad puede comprobar y/o permitir que los paquetes se reenvíen sólo desde fuentes conocidas/configuradas. Finalmente, como se describió anteriormente, el diseño del paquete en sí se puede verificar para determinar si el contenido del encabezado es correcto, si el número de bytes coincide con el tamaño real del paquete, si la suma de verificación CRC es válida y si la dirección de destino es válida. Además de estas medidas de seguridad, el procesador del controlador del dispositivo de seguridad puede responder a cambios dinámicos de comunicación. En particular, se pueden usar redes neuronales conocidas y/o algoritmos de inteligencia artificial para permitir que el controlador 106 estudie realmente el tráfico de la red de comunicación. Además, o alternativamente, se puede mantener un conjunto de estadísticas relativas a la transmisión de datos de la red y/o diversos destinatarios y fuentes. Si se detectan cambios en relación con la comunicación normal aprendida y/o los parámetros almacenados estadísticamente, se puede transmitir una alerta a la parte responsable a través del puerto de red de datos 102 o el puerto de comunicación de proceso 108, 110. Además, los patrones de comportamiento de comunicación sospechosos pueden identificarse específicamente según reglas. Por ejemplo, si el controlador 106 observa muchas solicitudes de direcciones de destinatarios donde la ID del dispositivo simplemente aumenta o disminuye con cada solicitud, el patrón de comportamiento sería el de una aplicación que busca un dispositivo. Una búsqueda de este tipo puede considerarse maliciosa. Además, las solicitudes de dirección de dispositivo que suben o bajan en el tipo de dispositivo extendido también pueden indicar una aplicación que busca un resultado. Esto también se considerará un signo de intención maliciosa. Además, las solicitudes de dirección de destino que simplemente implican aumentar o disminuir campos de mensaje, como comando, número de bytes, campos de datos, pueden indicar una aplicación que está intentando encontrar un dispositivo disponible y/o interrumpir la red de comunicación tecnológica. La detección de tal patrón de comportamiento puede considerarse un signo de intención maliciosa.

En caso de que se detecte algún indicio de intención maliciosa, preferentemente se registra localmente en el dispositivo de seguridad. Además, el dispositivo de seguridad puede incluir un protocolo de gestión de red simple o una opción de syslog para comunicar el evento y/o información de estado adicional a una parte responsable o a una aplicación de tecnología de la información. Syslog es un mecanismo de registro bien conocido utilizado por aplicaciones del lado del servidor para registrar eventos/alertas en un servidor o base de datos externo para su posterior análisis.

Higo. 5 es un diagrama de flujo de un método para proporcionar detección y prevención de intrusiones en una instalación de proceso de acuerdo con una realización de la presente invención. El método 200 comienza en el paso 202, donde un dispositivo de seguridad o puerta de enlace de comunicación tecnológica recibe al menos un paquete de comunicación tecnológica y descifra el paquete. En el paso 204, el método 200 aplica al menos una regla al paquete descifrado, donde la regla se basa en el conocimiento a priori del protocolo HART. Como se indicó anteriormente, una regla de ejemplo es que para un comando HART determinado, la cantidad de bytes en el paquete debe coincidir con la cantidad indicada en la especificación HART. En el paso 206, el método 200 determina si el paquete descifrado cumplió con todas las reglas aplicadas en el paso 204. Si todas las reglas se cumplieron exitosamente, entonces el control continúa con el paso 208, donde el paquete se reenvía a su destinatario previsto. Sin embargo, si el paquete no cumple al menos una regla, entonces el control pasa al bloque 210 donde preferiblemente se registra un evento de seguridad o se genera un evento y se bloquea la transmisión adicional del paquete al destinatario previsto.

Higo. 6 es un diagrama de flujo de un método para proporcionar detección y prevención de intrusiones en una instalación de proceso de acuerdo con una realización de la presente invención. El método 300 comienza en el paso 302, donde un dispositivo de seguridad o puerta de enlace de comunicación tecnológica recibe al menos un paquete de comunicación tecnológica y descifra el paquete cuando es necesario. En el paso 304, el método 300 aplica al menos una regla al paquete descifrado, donde la regla se basa en una descripción de dispositivo de protocolo de comunicación de campo (DD) (tal como HART o FOUNDATION Fieldbus). Como se indicó anteriormente, una regla de ejemplo que se basa en la descripción del dispositivo puede ser el valor de proceso del sensor de temperatura que proporciona el valor de presión del fluido de proceso. En el paso 306, el método 300 determina si el paquete descifrado cumplió con todas las reglas aplicadas en el paso 304. Si todas las reglas se cumplieron exitosamente, entonces el control pasa al paso 308 donde el paquete se reenvía a su destinatario previsto. Sin embargo, si el paquete no cumple al menos una regla, entonces el control pasa al bloque 310 donde preferiblemente se registra un evento de seguridad y se bloquea la transmisión adicional del paquete al destinatario previsto.

Los métodos 200 y 300 no son mutuamente excluyentes. En cambio, se puede proporcionar un resultado positivo de un método como entrada a otro método para proporcionar detección y prevención de intrusiones en una instalación de proceso basándose tanto en el conocimiento detallado de los paquetes de comunicación del proceso como en las descripciones de los dispositivos.

Aunque la presente invención se ha descrito con referencia a realizaciones preferidas, los expertos en la técnica entenderán que se pueden realizar cambios en la forma y los detalles sin apartarse del espíritu y alcance de la invención.

1. Un dispositivo tecnológico de comunicación que contenga:


un almacén de reglas acoplado al controlador, en donde el almacén de reglas tiene al menos una regla de transferencia de paquetes de comunicación que se basa en un protocolo de comunicación tecnológica;
un almacén de descripción de dispositivos conectado al controlador, en donde el almacén de descripciones de dispositivos tiene al menos una descripción de dispositivo relacionada con una cantidad de proceso medida por al menos un dispositivo de campo, en donde al menos un dispositivo de campo es descrito por al menos un dispositivo de descripción almacenado en el repositorio de descripción del dispositivo,
en el que el controlador aplica al menos una regla de transmisión de paquetes de comunicación de proceso y al menos una descripción de dispositivo al al menos un paquete de comunicación de tecnología recibido desde la interfaz de comunicación de tecnología, y genera información de evento cuando el paquete de comunicación de tecnología no satisface al menos una regla para transmitir paquetes de comunicación tecnológica o cuando al menos un paquete de comunicación tecnológica no está de acuerdo con al menos una descripción de dispositivo para al menos un dispositivo de campo; Y

2. Dispositivo de comunicación de procesos según la reivindicación 1, en el que el protocolo de comunicación de procesos es el protocolo HART (protocolo de interacción con un sensor remoto con direccionamiento de bus).

3. El dispositivo de comunicación de procesos según la reivindicación 1, en el que el protocolo superpone una señal digital sobre una señal de corriente analógica de 4-20 mA.

4. El dispositivo de comunicación de procesos según la reivindicación 1, en el que la interfaz de comunicación de procesos es una interfaz de comunicación de procesos cableada.

5. El dispositivo de comunicación tecnológica según la reivindicación 1, en el que la interfaz de comunicación tecnológica es una interfaz de comunicación tecnológica inalámbrica.

6. El dispositivo de comunicación de procesos según la reivindicación 5, en el que la interfaz de comunicación de procesos es también una interfaz de comunicación de procesos cableada.

7. El dispositivo de comunicación tecnológica de la reivindicación 1, en el que el controlador está configurado para descifrar al menos un paquete de comunicación tecnológica antes de aplicar al menos una regla de transmisión de paquete de comunicación tecnológica.

8. El dispositivo de comunicación tecnológica de conformidad con la reivindicación 7, en donde el dispositivo de comunicación tecnológica está implementado en la puerta de enlace de comunicación tecnológica.

9. El dispositivo de comunicación tecnológica de la reivindicación 1, en el que al menos una regla de transmisión de paquetes de comunicación tecnológica relaciona un número válido de bytes de paquete con un comando de protocolo de comunicación tecnológica contenido en el paquete.

10. El dispositivo de comunicación tecnológica de la reivindicación 1, en el que la al menos una regla de transmisión de paquetes de comunicación de proceso incluye un rango válido de comandos.

11. El dispositivo tecnológico de comunicación de conformidad con la reivindicación 1, caracterizado porque el dispositivo tecnológico de comunicación está implementado en el punto de acceso.

12. Un método para asegurar la protección de las comunicaciones tecnológicas, que contiene los pasos de:
recibir al menos un paquete de comunicación tecnológica enviado desde el dispositivo de campo de acuerdo con el protocolo de comunicación tecnológica;
aplicar al menos una regla a este paquete de comunicación de tecnología, en donde al menos una regla se basa en un protocolo de comunicación de tecnología;
aplicar al menos una segunda regla a este paquete de comunicación de proceso, en donde la al menos segunda regla se basa en una descripción del dispositivo para el dispositivo de campo en relación con una cantidad de proceso medida por el dispositivo de campo;
determinar un evento basándose en si dicho al menos un paquete de comunicación de tecnología cumplió con cada una de dicha al menos una regla y dicha al menos segunda regla; Y
reenviar selectivamente el al menos un paquete de comunicación de tecnología basándose en si el al menos un paquete de comunicación de tecnología cumplió con cada una de la al menos una regla y la al menos una segunda regla.

13. El método según la reivindicación 12, que comprende además la etapa de registrar el evento.

14. Un dispositivo tecnológico de comunicación que contenga:
una interfaz de comunicación de proceso configurada para comunicarse con al menos un dispositivo de campo a través de un bucle de comunicación de proceso de acuerdo con un protocolo de comunicación de proceso;
un controlador conectado a una interfaz de comunicación de procesos;
un almacén de descripción de dispositivo conectado al controlador, en donde el almacén de descripción de dispositivo tiene al menos una regla de transmisión de paquetes de comunicación de proceso que se basa en una descripción de dispositivo relacionada con una cantidad de proceso medida por al menos un dispositivo de campo, para ese al menos un campo dispositivos de dispositivo,
en el que el controlador aplica al menos una regla de transmisión de paquetes de comunicación tecnológica a al menos un paquete de comunicación tecnológica recibido desde la interfaz de comunicación tecnológica, y genera información de evento cuando el paquete de comunicación tecnológica no satisface al menos una regla de transmisión de paquetes de comunicación tecnológica; Y
una interfaz de red acoplada al controlador, en donde el controlador está configurado para reenviar un paquete de comunicación de tecnología a través de la interfaz de red si el paquete de comunicación de tecnología satisface todas las reglas para transmitir paquetes de comunicación de tecnología.

15. Un método para asegurar la protección de las comunicaciones tecnológicas, que contiene los pasos de:
recibir al menos un paquete de comunicación tecnológica de acuerdo con un protocolo de comunicación tecnológica, en donde el al menos un paquete de comunicación tecnológica transporta información hacia o desde el al menos un dispositivo de campo;
recuperar una descripción de dispositivo de un almacenamiento de descripción de dispositivo en el dispositivo de protección de comunicación de proceso que describe al menos un dispositivo de campo y se relaciona con una cantidad de proceso medida por al menos un dispositivo de campo;
aplicar al menos una regla a un paquete de comunicación de tecnología determinado, en donde al menos una regla se basa en la descripción del dispositivo recuperado;
determinar un evento basándose en si el al menos un paquete de comunicación de tecnología cumplió cada una de la al menos una regla; Y
reenviar selectivamente el al menos un paquete de comunicación de tecnología basándose en si el al menos un paquete de comunicación de tecnología cumplió cada una de la al menos una regla.

16. El método según la reivindicación 15, que comprende además la etapa de registrar el evento.

Patentes similares:

La invención se refiere a un método y aparato para transportar segmentos de inicialización HTTP de Streaming Adaptativo Dinámico (DASH) como fragmentos de descripción de servicios de usuario.

La invención se refiere al campo de las comunicaciones inalámbricas. El resultado técnico de la invención es la compatibilidad del estándar DECT (Digital Enhanced Wireless Communications) con una red VoIP con la posibilidad de un traspaso fluido de sesiones entre estaciones base.

La invención está destinada a alimentar y dar de beber a animales domésticos, en particular gatos y perros. El cuerpo del alimentador contiene al menos un dispositivo para introducir alimentos en la bandeja, al menos una cámara de video, micrófono, monitor o medio para conectar una tableta o teléfono inteligente, al menos un altavoz, módulo de comunicación, fuente de alimentación y medios de control.

La invención se refiere al campo de las comunicaciones. El resultado técnico es la capacidad de llevar a cabo un procesamiento diferenciado de flujos de extremo a extremo, proporcionar una experiencia de servicio diferenciada para diferentes niveles de usuarios y diferentes tipos de servicios, y aumentar efectivamente la tasa de utilización de los recursos de radio.

La invención se refiere a un método y objeto de red para registrar un objeto de usuario en una red de comunicación. El resultado técnico consiste en garantizar el registro de un objeto de usuario en una red de comunicación a través de otra red de comunicación. Un método para registrar una entidad de usuario en una primera red de comunicación, donde la entidad de usuario y una entidad de acceso que proporciona acceso a la primera red de comunicación están registradas en una segunda red de comunicación, incluye: transmitir al menos un mensaje de registro para registrar dicha entidad de usuario en la primera red de comunicación entre la entidad de usuario y una entidad de acceso a través de una segunda red de comunicación, en donde el mensaje de registro comprende una solicitud transmitida desde la entidad de usuario a una entidad de acceso a través de la segunda red de comunicación, y la solicitud solicita al menos una clave de acceso para la primera red de comunicación; y transmitir una respuesta a la solicitud transmitida desde la entidad de acceso a la entidad de usuario a través de la segunda red de comunicación si la solicitud transmitida cumple con una regla de autorización configurable, en donde dicha respuesta incluye al menos una clave de acceso solicitada a la primera red de comunicación. 2 n. y 10 salario mosca, 4 enfermos.

La invención se refiere a métodos para llamadas telefónicas multimodales. El resultado técnico es proporcionar la capacidad de intercambiar tanto mensajes de voz como datos en el contexto de una llamada telefónica. Un método implementado en un primer dispositivo informático para establecer una llamada telefónica multimodal comprende los pasos de: recibir una llamada telefónica desde un segundo dispositivo informático; enviar una respuesta al segundo dispositivo informático de que se ha establecido una sesión telefónica entre el primer dispositivo informático y el segundo dispositivo informático; enviar un mensaje de solicitud para registrar un primer dispositivo informático para una sesión de comunicación con un servicio de registro en línea, incluyendo el mensaje de solicitud un número de teléfono asociado con el primer dispositivo informático y un número de teléfono asociado con el segundo dispositivo informático; recibir un mensaje de respuesta que indica que el primer dispositivo informático está registrado en el servicio de registro en línea, incluyendo el mensaje de respuesta una clave que identifica de forma única la sesión de comunicación, y usar la clave para establecer una sesión de comunicación con el segundo dispositivo informático. 3 n. y 7 salario mosca, 10 enfermos.

La invención se refiere a medios para la distribución rápida de datos. El resultado técnico consiste en reducir la carga en el procesador central y el dispositivo de almacenamiento durante la transferencia de datos entre el almacenamiento y el controlador de interfaz de red. La información de descripción de datos es enviada, por el procesador central, al módulo de redireccionamiento rápido, en el que la información de descripción de datos contiene información de dirección e información de longitud de los datos solicitados por el usuario. Lee, a través del módulo de redirección rápida según la información de descripción de datos, los datos solicitados por el usuario desde el almacenamiento y redirige los datos solicitados por el usuario al controlador de interfaz de red. Envía, a través del controlador de interfaz de red, los datos solicitados por el usuario al usuario. En este caso, la unidad central de procesamiento, el almacenamiento y el controlador de interfaz de red están interconectados mediante un conmutador PCI, y el módulo de reenvío rápido es un módulo funcional integrado en el conmutador PCI y proporciona funciones de envío y recepción directa. 4 n. y 12 salario mosca, 12 enfermos.

La invención se refiere a comunicaciones móviles a través de redes de comunicación, en particular a un servidor de aplicaciones para gestionar las comunicaciones con un grupo de objetos de usuario. El resultado técnico de la invención es garantizar una gestión eficaz de las comunicaciones con un grupo de objetos de usuario. El servidor de aplicaciones incluye un receptor (201) para recibir una primera solicitud de inicio de sesión (202) con un identificador público que identifica un grupo de entidades de usuario, un procesador (203) configurado para determinar el estado de comunicación actual de la primera entidad de usuario al recibir la primera solicitud de inicio de sesión, y un transmisor (205, configurado para transmitir una segunda solicitud (204) para iniciar una sesión con el primer identificador de usuario para establecer un canal de comunicación con el primer objeto de usuario dependiendo de su estado de comunicación actual.

La invención se refiere a dispositivos para procesar y distribuir datos multimedia, así como a determinar información de identificación de datos multimedia. El resultado técnico consiste en aumentar la eficiencia de la grabación de datos multimedia y se logra debido al hecho de que los datos multimedia que deben grabarse reciben información de identificación de los datos multimedia cuando se envían al dispositivo de grabación. Aquí, el dispositivo de grabación identifica los datos de medios usando la información de identificación de datos de medios correspondiente. Se envía una instrucción de grabación a través del dispositivo de distribución al dispositivo de grabación sin enviar datos multimedia, donde el dispositivo de grabación identifica los datos multimedia mediante la información de identificación correspondiente de los datos multimedia, accede al dispositivo de almacenamiento de estos datos usando la información de identificación y registra los datos multimedia. 5 norte. y 32 salario mosca, 15 enfermos.

La invención se refiere a un método y sistema para mostrar archivos adjuntos de correo electrónico en una página de correo web. El resultado técnico es aumentar la seguridad del procesamiento de mensajes de correo electrónico identificando el contenido de los archivos adjuntos. El método implica recibir al servidor de correo desde el dispositivo de comunicación del destinatario del correo electrónico una solicitud para revisar mensajes destinados al destinatario del correo electrónico, recibir por el servidor de correo desde la base de datos de correo mensajes electrónicos que tienen una dirección final asociada con el destinatario del correo electrónico, en el que el Los mensajes electrónicos incluyen un mensaje electrónico que tiene un archivo adjunto de correo electrónico, la transmisión por el dispositivo de comunicación de un elemento iniciador que tiene una función para hacer que el dispositivo de comunicación muestre una página de correo web para que la vea el destinatario del correo electrónico, que muestra en cada línea el nombre. del remitente del mensaje electrónico, el título del mensaje electrónico, la creación de un icono, en el que la página webmail muestra adicionalmente en la línea de un correo electrónico que contiene un archivo adjunto de correo electrónico un icono que representa el archivo adjunto del correo electrónico e ilustra el contenido del correo electrónico adjunto. 2 n. y 38 salario mosca, 8 enfermos.

La invención se refiere al campo de las aplicaciones de Internet, en particular a la obtención de información dinámica. El resultado técnico es una reducción en el número de solicitudes de mensajes dinámicos. Un método para obtener información dinámica, que incluye obtener, por parte de un cliente de un primer usuario, una cadena de relaciones del primer usuario, en donde la cadena de relaciones del primer usuario incluye al menos un segundo usuario, determinando por parte del cliente el grado de actividad de al menos un segundo usuario especificado en un primer período de tiempo dado, determinar el valor de referencia del intervalo de tiempo de solicitud de información dinámica de acuerdo con el grado de actividad, determinar la tasa de actualización de información de al menos un segundo usuario en un segundo período de tiempo dado , determinar el valor de ajuste del intervalo de tiempo de solicitud de información dinámica en función de la tasa de actualización de información, determinar el cliente el valor del intervalo de tiempo de acuerdo con el valor de referencia un intervalo de tiempo y un valor de ajuste del intervalo de tiempo de solicitud de información dinámica, y una solicitud de información dinámica de dicho al menos un segundo usuario según el valor del intervalo de tiempo de solicitud de información dinámica. 3 n. y 17 salario mosca, 4 enfermos.

La invención se refiere al campo de la seguridad de redes. El resultado técnico es garantizar la seguridad efectiva de la cuenta de usuario. Un método para vincular una clave simbólica a una cuenta comprende los pasos de: enviar un mensaje de solicitud de vinculación que lleva la cuenta a un servidor de modo que el servidor genere un enlace a un certificado y una primera clave simbólica correspondiente a la cuenta; obtener la referencia del certificado y la primera clave token y generar información de visualización según la referencia del certificado y la primera clave token, de modo que el terminal móvil obtenga la información cifrada según la primera clave token y envíe un mensaje de solicitud de acceso que lleve la referencia del certificado y la información cifrada, y además, que el servidor reciba un mensaje de solicitud de acceso y envíe información cifrada; obtener la información cifrada y obtener una segunda clave simbólica de acuerdo con la información cifrada y enviar un mensaje de éxito de vinculación al servidor después de determinar que la segunda clave simbólica coincide con la primera clave simbólica, de modo que el servidor vincule la primera clave simbólica a la cuenta. 9 n. y 8 salario mosca, 10 enfermos.

La invención se refiere al campo de las comunicaciones inalámbricas. El resultado técnico es el control de acceso a la red. Un método para reemplazar certificados digitales comprometidos asociados con tarjetas electrónicas de circuitos integrados universales (eUICC) incluidas en dispositivos móviles, que comprende los pasos de: recibir, en un servidor de gestión de eUICC, una indicación de que una autoridad de firma asociada con una pluralidad de certificados digitales ha sido comprometido; y para cada certificado digital de una determinada pluralidad de certificados digitales: identificando (i) la eUICC asociada a ese certificado digital, y (ii) el dispositivo móvil en el que está incluida la eUICC, identificando una clave pública (PKeUICC) que (i) corresponde a dicha eUICC y (ii) asociado a dicho certificado digital, provocar la creación de un certificado digital actualizado, en donde el certificado digital actualizado se basa en PKeuicc y una clave secreta actualizada (SKUpdated_SA) que corresponde a la autoridad firmante, provocando que dicha eUICC sustituir dicho certificado digital por el certificado digital actualizado. 3 n. y 17 salario mosca, 19 enfermos.

La invención se refiere a tecnologías de comunicación en red. El resultado técnico es aumentar la tasa de transferencia de datos. El método comprende las etapas de: recibir un flujo de datos de contenido multimedia en tiempo real de una llamada de conferencia multipartita en tiempo real desde otro dispositivo de comunicación, en el que los paquetes de flujo de datos de contenido multimedia en tiempo real de una llamada de conferencia multipartita en tiempo real incluyen identificar el flujo de datos en tiempo real, contenido multimedia de una conferencia telefónica entre múltiples participantes en tiempo real; y transmitir una solicitud de pausa desde el dispositivo de comunicación receptor al otro dispositivo de comunicación, en el que la solicitud de pausa incluye una identificación de un flujo de datos de contenido multimedia en tiempo real de la llamada de conferencia multipartita en tiempo real y un número de secuencia de solicitud de pausa. 4 n. y 28 salario mosca, 11 enfermos.

La invención se relaciona con la tecnología de la comunicación y puede usarse en sistemas de comunicación tecnológicos. El resultado técnico es aumentar la confiabilidad de la comunicación. Para ello, el dispositivo incluye una interfaz de comunicación de procesos para la comunicación a lo largo del bucle de comunicación de procesos según el protocolo de comunicación de procesos. El controlador se conecta a la interfaz de comunicación del proceso. El almacén de reglas está conectado al controlador y tiene al menos una regla de transmisión de paquetes de comunicación que se basa en un protocolo de comunicación. El controlador aplica al menos una regla de transmisión de paquetes de comunicación a la al menos una transmisión de paquetes de comunicaciones recibida desde la interfaz de comunicación y genera información de evento cuando la transmisión del paquete de comunicaciones no satisface al menos una regla de transmisión de paquetes de comunicaciones. 4 n. y 12 salario mosca, 6 enfermos.

La cuestión de la seguridad es un tema de suma importancia, además de uno de los componentes del éxito de la empresa. Por esta razón, los CISO deberían estar entre los máximos líderes de toda organización. Su trabajo es garantizar que las estrategias de seguridad de la información sean consistentes con los intereses comerciales de la empresa.

Conectarse a Internet ofrece un sinfín de posibilidades, sin embargo, una vez conectados nos encontramos en un enorme ecosistema compartido. Es importante entender que una desgracia que le suceda a una empresa seguramente afectará a otras organizaciones. Un incidente puede afectar no sólo a los socios comerciales inmediatos de la empresa afectada, sino también a organizaciones que operan en áreas completamente diferentes. Por ejemplo, cuando se penetra una red corporativa, a menudo se filtra información de identificación personal (PII). Estos datos no sólo pueden venderse o utilizarse con fines fraudulentos, sino también desarrollarse en base a ellos. phishing ataques. Cuanta más información detallada tenga el atacante sobre usted, más realista parecerá su mensaje de correo electrónico, que probablemente usted abra.

Muchas de las técnicas de ataque que se utilizan hoy en día son similares a las utilizadas hace unos años, como eludir contraseñas débiles, ataques de phishing y descargar malware de sitios infectados o publicitarios. Al mismo tiempo, los atacantes han desarrollado técnicas más efectivas y sigilosas para penetrar los sistemas de red gracias a algunas vulnerabilidades generalizadas.

Estos incluyen redes sociales y servicios de información. Mucha gente utiliza las redes sociales hasta cierto punto, p. Facebook , LinkedIn o sitios de citas online. Esto permite a los atacantes penetrar los dispositivos de los usuarios mediante ingeniería social, jugando con las emociones humanas. Los principios de la ingeniería social siguen siendo los mismos, pero los vectores de ataque han cambiado. También debes tener en cuenta el hecho de que los atacantes utilizan varios métodos de evasión. Son cada vez más eficaces a la hora de ocultar ataques, por lo que los programas antivirus tradicionales a menudo no son suficientes para ofrecer una protección fiable.

Entre las nuevas tecnologías para la penetración ilegal en redes corporativas, las más utilizadas son ataques de phishing. Los correos electrónicos de phishing contienen códigos maliciosos o enlaces adjuntos que parecen confiables e incitan a los usuarios a hacer clic en ellos.

Otra tecnología utilizada por los atacantes es . Los delincuentes se infiltran en un sitio web e instalan malware Java- un script que redirige a un usuario desprevenido a otro sitio web que contiene datos maliciosos (programa). Estos datos se descargan al dispositivo del usuario en segundo plano. Antes de lanzar un ataque dirigido, los atacantes pasan muchos meses investigando sitios web visitados con frecuencia por los empleados de la empresa e infectándolos.

Próxima tecnología - publicidad maliciosa. El principio de este ataque es similar al de la descarga oculta, pero en este caso el atacante infecta sitios publicitarios. Un sitio de publicidad infectado puede a su vez infectar a miles de otros. ¡Resultados impresionantes sin mucho esfuerzo!

Los últimos en popularidad, pero no menos peligrosos, son ataques a dispositivos móviles. En muchos aspectos son similares a los ataques descritos anteriormente. La diferencia es que el objetivo de este tipo de ataques son los dispositivos móviles. Además, el malware puede llegar a dispositivos en SMS-mensajes o bajo la apariencia de otras aplicaciones, como juegos o pornografía.

Después de infiltrarse con éxito en la red del dispositivo de un usuario, como una computadora portátil, una computadora de escritorio o un dispositivo móvil, el atacante comienza a descargar software y herramientas maliciosos para lograr su objetivo ilegal. Como regla general, los datos que necesitan los atacantes no se encuentran en las estaciones de trabajo, sino en servidores, bases de datos y otras ubicaciones. A continuación se describen las etapas de la actividad delictiva después de infiltrarse en la red:

• Descargar otras herramientas y malware para infectar aún más la red.
• Explorar la red y buscar otros servidores que contengan datos que necesitan los atacantes. búsqueda de servidor Directorio activo, que contiene todos los nombres de usuario y contraseñas. Si este servidor es pirateado con éxito, los delincuentes tendrán acceso gratuito a todos los recursos.
• Una vez descubiertos los datos, los atacantes encontrarán un servidor de distribución de información adicional para copiar estos datos. Lo ideal es que sea un servidor con un rendimiento estable (no sujeto a fallos) y con acceso a Internet.
• Los datos se transferirán lentamente a los servidores de los atacantes, que se encuentran en las nubes, lo que dificulta bloquear la transferencia de datos.

Al permanecer en la red durante mucho tiempo, los atacantes pueden recopilar cualquier tipo de datos disponibles. La mayoría de los datos corporativos se almacenan electrónicamente. Cuanto más tiempo pasan sin ser detectados los atacantes, más aprenden sobre las actividades comerciales y los flujos de datos de una empresa. Un ejemplo es el ataque de Carbanak. Durante este ataque, los delincuentes lograron detectar los ordenadores de los administradores y acceder a las cámaras. circuito cerrado de televisión, monitorea el trabajo de los empleados del banco y registra todas sus acciones con gran detalle. Imitando estas acciones, los atacantes retiraban dinero utilizando sus propios sistemas.

Como dije antes, la penetración de la red ocurre a menudo cuando un usuario hace clic en un enlace malicioso. Una vez en la red del dispositivo, los atacantes buscan los datos que necesitan moviéndose por la red. Por eso es tan importante segmentación de red. En primer lugar, reduce las consecuencias negativas de una violación de la seguridad al aislar los elementos maliciosos que han ingresado a la red en un área y evitar que se propaguen por toda la red. Además, gracias a la segmentación, los datos sensibles se pueden mover a un área con mayor nivel de protección, de donde será más difícil para los atacantes extraerlos. Y, finalmente, es físicamente imposible rastrear todo lo que sucede en la red y hacer impenetrable el perímetro de protección, ya que la red es una estructura demasiado grande y compleja. Por lo tanto, tiene más sentido aislar los datos importantes y centrarse en rastrear las rutas para acceder a esos datos.

Esta parte describe una técnica para hackear computadoras con Windows 2000/XP en redes TCP/IP. En la Lección 1, analizamos los métodos y herramientas utilizados por los piratas informáticos para penetrar el sistema informático de una organización. Allí indicamos que para implementar dicha tarea, un pirata informático puede utilizar el acceso local, por ejemplo, simplemente para robar equipos, por ejemplo, un disco duro, o piratear el sistema de forma remota. La penetración remota se puede realizar desde dentro de una red local conectando una computadora con software de piratería a un cable de red, o desde el exterior, utilizando Internet o una línea telefónica con un módem. Discutimos las amenazas de penetración local y los ataques desde Internet en capítulos anteriores, y en esta parte del libro nos centraremos en los ataques a computadoras con Windows 200/XP desde dentro de la red local. Analizaremos las vulnerabilidades de los protocolos TCP/IP, herramientas de administración remota, firewalls y conexiones de red.

Hackear computadoras con Windows 2000/XP

Entonces, el hacker logró conectarse a la red local, usando alguna computadora abandonada (de otra persona), o conectarse ilegalmente a un cable de red que se encuentra en algún lugar del sótano, usando un dispositivo especial. Sin embargo, todo esto, por regla general, es innecesario: dado el caos que reina en las redes locales actuales, basta con obtener acceso a una computadora de red normal, y luego todo depende de usted. Entonces, el pirata informático obtuvo acceso a la red local y ahora quiere acceder a los recursos de información de los hosts de la red. ¿Cómo puede hacer esto?

Las herramientas de piratería se ilustran con más detalle utilizando nuestra red TCP/IP experimental, que hemos utilizado a lo largo del libro. Esta red demostrará un conjunto de técnicas para piratear redes TCP/IP sin violar los derechos de privacidad de nadie. El autor insiste categóricamente en la no aplicación de las herramientas que se describen a continuación a redes reales y advierte de posibles responsabilidades.

En el Capítulo 1, describimos todas las etapas de un ataque de piratas informáticos e indicamos que el pirata informático primero intentará descubrir todo lo que pueda sobre la organización de la red atacada y las tecnologías de red utilizadas en ella. En este capítulo, omitiremos la etapa preliminar de recopilación de datos; se describe con suficiente detalle en el Capítulo 12 en relación con las tareas de piratería de sitios web. En cambio, analizaremos más de cerca todas las etapas posteriores de un ataque a la red, que, de hecho, hacen que la piratería sea una actividad tan "interesante". Como se analizó en el Capítulo 1, lo primero que debe hacer un hacker para penetrar una red es escanearla e inventariarla.

Escaneo de red TCP/IP

El propósito del escaneo es determinar las direcciones IP de los hosts en la red atacada y, para realizar el escaneo, puede usar la utilidad ping del conjunto de herramientas proporcionadas en el paquete W2RK (Paquete de recursos de Windows 2000). Esta utilidad envía paquetes ICMP (Protocolo de mensajes de control de Internet) a hosts de red con direcciones IP en el rango especificado. Si se recibe una respuesta al paquete enviado, significa que el host de la red está ubicado en la dirección correspondiente. En la figura. 1 muestra el resultado de escanear el host con la utilidad ping Espada-2000.

Arroz. 1. Resultado del análisis del host Espada-2000 utilidad de ping

El resultado muestra que la computadora en la dirección especificada está conectada a la red y la conexión funciona normalmente. Esta es la forma más sencilla de escanear una red, sin embargo, no siempre produce los resultados deseados, ya que muchos hosts bloquean el envío de paquetes ICMP utilizando medidas de protección especiales. Si la comunicación ICMP está bloqueada, los piratas informáticos pueden utilizar otras utilidades, como hping ( http://www.hping.org/). Esta utilidad es capaz de fragmentar (es decir, dividir en fragmentos) paquetes ICMP, lo que le permite evitar dispositivos de bloqueo de acceso simples que no pueden volver a ensamblar paquetes fragmentados.

Otra forma de evitar el bloqueo de acceso es escanear utilizando utilidades que le permitan determinar los puertos abiertos de la computadora, lo que en algunos casos puede engañar a los sistemas de seguridad simples. Un ejemplo de dicha utilidad es SuperScan ( http://www.foundstone.com), que proporciona a los usuarios una interfaz gráfica conveniente (ver Fig. 2).

Arroz. 2. Resultados del escaneo de red usando la utilidad SuperScan 3.0

En la figura. La Figura 2 muestra el resultado del escaneo de red en un rango de direcciones IP 192.168.0.1-192.168.0.100 . Observe la vista de árbol en la parte inferior de la ventana, que muestra una lista de todos los puertos abiertos en la computadora. ws7scit1xp, entre las que se encuentran las sesiones NetBIOS del puerto TCP 139 favoritas de los piratas informáticos. Habiendo recordado esto, pasemos a un estudio más detallado de la red: a su inventario.

Inventario de red

El inventario de red implica identificar recursos de red compartidos, cuentas de usuarios y grupos, e identificar aplicaciones que se ejecutan en hosts de red. Al mismo tiempo, los piratas informáticos suelen aprovechar la siguiente desventaja de los ordenadores con Windows NT/2000/XP: la posibilidad de crear una sesión NetBIOS nula con el puerto 139.

Sesión cero

Una sesión nula se utiliza para transmitir cierta información sobre computadoras con Windows NT/2000 que es necesaria para el funcionamiento de la red. Crear una sesión nula no requiere autenticación de conexión. Para crear una sesión nula, ejecute el siguiente comando desde la línea de comandos de Windows NT/2000/XP.

uso neto \\1.0.0.1\IPC$ "" /usuario: ""

Aquí 1.0.0.1 es la dirección IP de la computadora atacada. Espada-2000, IPC$ es una abreviatura de comunicación entre procesos (el nombre de un recurso compartido de red), el primer par de comillas "" indica el uso de una contraseña vacía y el segundo par en la entrada /usuario:" indica una nombre de cliente remoto vacío. Un usuario anónimo conectado a través de una sesión nula de forma predeterminada puede iniciar el Administrador de usuarios, que se utiliza para ver usuarios y grupos, y ejecutar el visor de registro de eventos. También tiene acceso a otros programas de administración remota del sistema que dependen del protocolo SMB (Server Message Block). Además, un usuario conectado a través de una sesión cero tiene derecho a ver y modificar secciones individuales del registro del sistema.

En respuesta a ingresar el comando anterior, una computadora que no esté protegida adecuadamente mostrará un mensaje de conexión exitosa; de lo contrario, se mostrará un mensaje de acceso denegado. En nuestro caso aparecerá un mensaje indicándonos que la conexión del ordenador se ha realizado correctamente. Alex-Z(sistema Windows XP) con computadora Espada-2000(Sistema Windows 2000). Sin embargo, la sesión cero Espada-2000 Con Alex-Z ya no funciona; obviamente, los desarrolladores de Windows XP tuvieron en cuenta la triste experiencia de "usar" una sesión cero en los sistemas Windows 2000, que, de forma predeterminada, permitían sesiones cero.

Todas las utilidades de inventario de recursos de red utilizan sesiones nulas en computadoras con Windows NT/2000/XP. El método de inventario más simple es utilizar servicios públicos. vista neta Y nbtstat del paquete W2RK. La utilidad net view le permite mostrar una lista de dominios de red.

Como resultado, se mostró el nombre del grupo de trabajo de SWORD. Si especifica el nombre de dominio encontrado, la utilidad mostrará las computadoras conectadas a él.

Ahora determinemos el usuario actualmente registrado de la computadora servidor Sword-2000 y los servicios que se ejecutan en la computadora. Para ello utilizamos la utilidad nbtstat; el resultado de su aplicación se presenta en la Fig. 3.

Arroz. 3. La utilidad nbtstat identificó usuarios y servicios informáticos. A1ex-3

En la figura. La Figura 3 muestra una tabla en la que la primera columna indica el nombre NetBIOS, seguido del nombre y el código de servicio NetBIOS. En particular, el código<00>después del nombre de la computadora significa el servicio de la estación de trabajo y el código<00>después del nombre de dominio, el nombre de dominio. Código<03>significa un servicio para enviar mensajes enviados al usuario que ha iniciado sesión cuyo nombre aparece antes del código<03>- en este caso, Administrador. La computadora también está ejecutando el servicio de navegador MSBROWSE, como lo indica el código<1 Е>después del nombre del grupo de trabajo SWORD.

Entonces, ya tenemos el nombre de usuario registrado actualmente en la computadora: Administrador. ¿Cuáles son los recursos generales de red de la computadora? Espada-2000 usa? Usemos nuevamente el procedimiento net view, dándole el nombre de la computadora remota. Los resultados se presentan en la Fig. 4.

Arroz. 4. Recursos informáticos generales Espada-2000

Como puede ver, la cuenta de usuario Administrador permite el acceso de red compartido a algunas carpetas en el sistema de archivos de la computadora. Espada-2000 y unidad de CD-ROM. Por lo tanto, ya sabemos bastante sobre la computadora: no permite sesiones NetBIOS, el usuario Administrador se ejecuta en ella, los puertos 7, 9, 13, 17, 139, 443, 1025, 1027 de la computadora están abiertos y el Los recursos de toda la red incluyen carpetas individuales de la unidad local C:. Ahora sólo queda averiguar la contraseña de acceso del usuario Administrador y ya tendremos a nuestra disposición toda la información del disco duro C: del ordenador. A continuación mostraremos cómo se utiliza la utilidad para esto. pwdump3.exe extracción remota de contraseñas del registro del sistema Windows NT/2000/XP y el programa LC4 para descifrarlas.

¿Qué puede hacer si el protocolo NetBIOS sobre TCP/IP está deshabilitado (las computadoras con Windows 2000/XP ofrecen esta opción)? Existen otras herramientas de inventario, por ejemplo, el protocolo SNMP (Protocolo simple de administración de redes), que proporciona monitoreo de redes Windows NT/2000/XP.

Y ahora, después de haber recopilado información sobre el sistema atacado, pasemos a piratearlo.

Realización del objetivo

La ejecución de un ataque en sistemas Windows NT/2000/XP consta de los siguientes pasos.

Penetración en el sistema, que consiste en obtener acceso.

Ampliación de derechos de acceso, que consiste en descifrar contraseñas de cuentas con altos derechos, por ejemplo, administrador del sistema.

Cumplir el propósito del ataque: extraer datos, destruir información, etc.

Penetración del sistema

La penetración del sistema comienza con el uso de una cuenta identificada en la etapa previa del inventario. Para determinar la cuenta requerida, el pirata informático podría utilizar el comando nbtstat o el navegador MIB, o cualquiera de las utilidades de piratería disponibles en abundancia en Internet. Una vez identificada la cuenta, el hacker puede intentar conectarse al ordenador atacado y utilizarlo para autenticarse el inicio de sesión. Puede hacer esto desde la línea de comando ingresando el siguiente comando.

D:\>uso neto \\1.0.0.1\IPCS * /urAdministrator

El carácter "*" en la línea de comando indica que para conectarse al recurso IPC$ remoto, debe ingresar la contraseña de la cuenta de Administrador. En respuesta a ingresar el comando, se mostrará el siguiente mensaje:

Escriba la contraseña para\\1.0.0.1\IPC$:

Al introducir la contraseña correcta se establece una conexión autorizada. Por lo tanto, obtenemos una herramienta para seleccionar contraseñas de inicio de sesión en una computadora: al generar combinaciones aleatorias de caracteres o clasificar el contenido de los diccionarios, eventualmente puede encontrar la combinación deseada de caracteres de contraseña. Para simplificar la selección, existen utilidades que realizan automáticamente todas estas operaciones, por ejemplo, SMBGrind, incluida en el paquete comercial CyberCop Scanner de Network Associates. Otro método es crear un archivo por lotes con una búsqueda de contraseñas por turnos.

Sin embargo, la adivinación remota de contraseñas está lejos de ser el arma de piratería más poderosa. Todos los servidores modernos, por regla general, están equipados con protección contra múltiples intentos de inicio de sesión con cambios de contraseña, interpretándolos como un ataque al servidor. Para hackear el sistema de seguridad de Windows NT/2000/XP se suele utilizar una herramienta más potente, que consiste en recuperar las contraseñas de la base de datos SAM (Security Account Manager). La base de datos SAM contiene códigos de contraseña de cuenta cifrados (o, como dicen, hash), y se pueden recuperar, incluso de forma remota, mediante utilidades especiales. Luego, estas contraseñas se descifran utilizando una utilidad de descifrado que utiliza algún método de descifrado, como la fuerza bruta o un ataque de diccionario, buscando palabras en un diccionario.

La utilidad de descifrado más conocida utilizada para descifrar contraseñas SAM es LC4 (abreviatura de LOphtcrack, la versión más nueva es LC4) ( http://www.atstake.com/research/redirect.html), que funciona en conjunto con dichas utilidades.

Samdump: extrae contraseñas hash de la base de datos SAM.

Pwdump: extrae contraseñas hash del registro del sistema de una computadora, incluidos los sistemas remotos. Esta utilidad no admite el cifrado SAM mejorado con Syskey (consulte el Capítulo 4 para obtener más información sobre Syskey).

Pwdump2: extrae contraseñas hash del registro del sistema, que utiliza cifrado Syskey. Esta utilidad solo admite sistemas locales.

Pwdump3: igual que Pwdump2, pero compatible con sistemas remotos.

Discutimos en detalle qué es el cifrado Syskey en el Capítulo 4; Aquí señalamos que esta es una herramienta para el cifrado mejorado de la base SAM, que se instala de forma predeterminada en los sistemas Windows 2000/XP y debe instalarse como una característica adicional para los sistemas Windows NT.

El Capítulo 4 describió cómo recuperar contraseñas del registro del sistema local, pero ahora veamos cómo se realiza esta operación de forma remota. Para extraer contraseñas hash de una computadora Espada-2000 Usemos la utilidad Pwdimp3 ejecutándola desde la línea de comando:

C:\>pwdump3 espada-2000 > contraseña.psw

Aquí la computadora de destino se especifica en la línea de comando Espada-2000 y luego redirija la salida de los datos extraídos a un archivo llamado contraseña.psw. El contenido del archivo resultante se presenta en la ventana de la aplicación Bloc de notas (Fig. 5).

Arroz. 5. Resultado de extraer contraseñas hash de la computadora Sword-2000

Como puede ver, el archivo contraseña.psw contiene la cuenta de Administrador, que encontramos en la etapa de inventario. Para descifrar contraseñas, debemos usar el programa LC4, y aunque la versión de prueba de este programa solo admite el descifrado de contraseñas mediante ataque de diccionario, aún podemos descifrar contraseñas de computadora. Espada-2000(Figura 6).

Arroz. 6. Descifrado de contraseñas extraídas remotamente del registro de la computadora Espada-2000

Esto requirió solo unos segundos de operación de computadora con un procesador Celeron de 1000 MHz, ya que la contraseña 007 consta de solo tres dígitos y es muy débil. El uso de contraseñas más complejas aumenta significativamente la solidez criptográfica del sistema y descifrarlas puede requerir un aumento inaceptable en el tiempo de ejecución de la aplicación LC4.

Por lo tanto, un pirata informático, con una pequeña pista (la capacidad de crear cero sesiones de conexión NetBIOS a una computadora), podría, en principio, obtener contraseñas para las cuentas de la computadora, incluido el administrador del sistema. Si no logra obtener inmediatamente la contraseña de una cuenta con mayores derechos, el hacker intentará ampliar sus derechos de acceso.

Ampliación de los derechos de acceso e implementación de ataques.

Para ampliar los derechos de acceso a un sistema, los piratas informáticos utilizan una variedad de métodos, pero su principal diferencia es la necesidad de instalar un programa especial en la computadora que permite el control remoto del sistema, incluida la grabación de las acciones del usuario. El objetivo es dominar una cuenta que le permita obtener el mayor acceso posible a los recursos de la computadora. Para ello, se pueden instalar en el ordenador atacado los llamados keyloggers, programas que registran las pulsaciones de teclas. Todos los datos recibidos se registran en un archivo separado, que luego puede enviarse a la computadora del atacante a través de la red.

Un ejemplo de keylogger es la popular grabadora. Sigilo del registrador de teclas invisible(IKS) ( http://www.amecisco.com/iksnt.htm). El keylogger IKS es un ejemplo de troyano pasivo que funciona por sí solo y no proporciona a su propietario medios de control remoto.

Otra opción para un hacker es colocar un troyano activo en el sistema, es decir, por ejemplo, un popular caballo de Troya. NetBus (http://www.netbus.org) o V02K(Orificio trasero 2000) ( http://www.bo2k.com), que proporcionan medios de control remoto y seguimiento encubierto del ordenador atacado.

Utilidades NetBus Y VO2K le permitirán alcanzar uno de los objetivos más importantes de un ataque de piratas informáticos: crear pasajes secretos en un sistema remoto. Después de haber irrumpido en el ordenador de la víctima una vez, el hacker crea en él muchos pasajes "secretos" adicionales. El cálculo se basa en el hecho de que mientras el propietario del ordenador busca y encuentra un pasaje, el hacker, utilizando los pasajes aún abiertos, crea nuevos pasajes secretos, y así sucesivamente. Los pasajes secretos son algo extremadamente desagradable, es casi imposible deshacerse de ellos y, con su ayuda, un atacante tiene la oportunidad de hacer cualquier cosa en la computadora atacada: monitorear las actividades del usuario, cambiar la configuración del sistema y también hacer todo tipo de cosas desagradables para él, como reiniciar el sistema a la fuerza o formatear discos duros.

Como ejemplo de caballo de Troya, consideremos el trabajo del antiguo y bien merecido caballo de Troya NetBus, desarrollado por un grupo de hackers llamado cDc (Cult of the Dead Cow).

Aplicación NetBus

La aplicación NetBus es un programa cliente-servidor, es decir. una parte, la parte del servidor, se instala en la computadora atacada y la otra parte, la parte del cliente, se instala en la computadora del hacker. La instalación de la aplicación en una computadora local no causa problemas. En el cuadro de diálogo del asistente de instalación, debe especificar el componente requerido: servidor o cliente, después de lo cual se descargará a su computadora. La instalación remota y oculta de un servidor en la computadora atacada y el lanzamiento del programa del servidor es una tarea más difícil y la pospondremos. Primero, veamos el funcionamiento de la aplicación NetBus usando el ejemplo de nuestras dos computadoras de la red: cliente - computadora ws7scit1xp(dirección IP 192.168.0.47) y servidor - computadora Ws6scit1xp(Dirección IP 192.168.0.46).

Para que el troyano NetBus funcione correctamente en el ordenador atacado, primero es necesario ejecutar el componente del servidor de la aplicación, llamado NBSvr (los verdaderos piratas informáticos deben lograr hacerlo de forma remota). Cuando inicia el programa NBSvr, se muestra el cuadro de diálogo que se muestra en la Fig. 7.

Arroz. 7. Diálogo del servidor NetBus

Antes de utilizar el servidor NetBus, se debe configurar la utilidad NBSvr. Para ello, siga este procedimiento.

En dialogo Servidor NB(Servidor NB) haga clic en el botón Ajustes(Opciones). Aparecerá un diálogo en la pantalla. Configuración del servidor(Configuración del servidor), presentado en la Fig. 8.

Arroz. 8. Diálogo de configuración del servidor NetBus

Marcar la casilla Aceptar conexiones(Aceptar conexiones).

en el campo Contraseña(Contraseña) introduzca la contraseña de acceso al servidor NetBus.

De la lista desplegable Visibilidad del servidor(Visibilidad del servidor) seleccione Completamente visible(Visibilidad total), que le permitirá monitorear el funcionamiento del servidor NetBus(pero para el trabajo es mejor elegir la total invisibilidad).

en el campo Modo de acceso(Modo de acceso) seleccione Acceso completo(Acceso completo), que te permitirá realizar en tu ordenador ws7scit1xp todas las operaciones de control remoto posibles.

Marcar la casilla Inicio automático de cada sesión de Windows(Inicio automático en cada sesión de Windows) para que el servidor se inicie automáticamente cuando inicie sesión.

Haga clic en el botón DE ACUERDO. El servidor está listo para funcionar. Ahora configuremos el cliente: la utilidad. NetBus.exe.

Ejecute la utilidad NetBus.exe, después de lo cual se mostrará la ventana NetBus 2.0 Pro, presentado en la Fig. 9.

Arroz. 9. Ventana operativa del cliente NetBus

Seleccionar comando de menú Anfitrión * Barrio * Local(Anfitrión * Anfitrión vecino * Local). Aparecerá un diálogo Red(Red), presentada en la Fig. 10.

Arroz. 10. Diálogo para seleccionar un host para conectar un cliente NetBus

Haga clic en el artículo Red Microsoft Windows(Red de Microsoft Windows) y abra la lista de hosts de red (Fig. 11).

Arroz. 11. Cuadro de diálogo para seleccionar un servidor host al que conectarse

Seleccione una computadora con el servidor NetBus instalado, en nuestro caso ws7scit1xp y haga clic en el botón Agregar(Agregar). Aparecerá un diálogo en la pantalla. Agregar anfitrión(Agregar host) como se muestra en la Fig. 12.

Arroz. 12. Cuadro de diálogo para agregar un nuevo host: servidor NetBus

en el campo Nombre de host/IP(Nombre de host/IP) Introduzca la dirección IP del host del servidor 192.168.0.46.

en el campo Nombre de usuario(Nombre de usuario) ingrese el nombre de la cuenta pirateada Administrador, y en el campo Contraseña(Contraseña): contraseña descifrada por la utilidad LC4 007 .

Haga clic en el botón DE ACUERDO. Aparecerá un diálogo en la pantalla. Red(Neto).

Cerrar el diálogo Red(Red) haciendo clic en el botón Cerca(Cerca). Aparecerá una ventana en la pantalla. NetBus 2.0 Pro con la entrada de host agregada (Fig. 13).

Arroz. 13. Ventana de NetBus 2.0 Pro con una entrada para el host agregado: servidor NetBus

Para conectarse al anfitrión ws7scit1xp, haga clic derecho en el elemento de la lista ws7scit1xp y en el menú contextual que aparece, seleccione el comando Conectar(Conectar). Si tiene éxito, la barra de estado de la ventana NetBus 2.0 Pro se mostrará un mensaje Conectado a 192.168.0.46 (v.2.0)(Conectado a 192.168.0.46 (v.2.0)).

Después de conectarse exitosamente al componente del servidor NetBus, el hacker, utilizando las herramientas del cliente NetBus, puede hacer lo que quiera con la computadora atacada. Prácticamente tendrá acceso a las mismas capacidades que el usuario Administrador local. En la figura. 14 muestra la lista de herramientas del cliente NetBus que se muestran en el menú Control(Control).

Arroz. 14. El menú Control contiene una lista extensa de herramientas de administración remota de host.

Entre estas herramientas, destacamos los fondos recaudados en el submenú. Funciones de espionaje(Herramientas espía) y que contiene herramientas útiles como un registrador de teclas, captura de pantalla y captura de cámara de video, y herramientas de grabación de audio. Por lo tanto, un hacker que haya penetrado en su computadora puede espiar, escuchar y leer todo lo que ve, dice o escribe en el teclado de su computadora. ¡Y eso no es todo! Un hacker puede modificar el registro del sistema de una computadora Espada-2000, inicie cualquier aplicación y reinicie el sistema Windows remoto, sin mencionar la capacidad de ver y copiar cualquier documento y archivo.

Como ya se mencionó, la utilidad del servidor NetBus descrita en esta sección, así como el registrador de teclas IKS descrito en la sección anterior, requieren un inicio preliminar en la computadora atacada. Esta última tarea constituye un área completamente separada del hacking y consiste en buscar directorios en el servidor de información IIS que se abrieron inadvertidamente, así como utilizar métodos de “ingeniería social” utilizados para introducir caballos de Troya o virus en una computadora. (Los métodos de “ingeniería social” se analizan con más detalle a lo largo del libro).

Ocultar rastros

La auditoría es sin duda una de las defensas más importantes contra la piratería de un sistema informático, y desactivar las herramientas de auditoría es una de las primeras cosas que hacen los piratas informáticos cuando irrumpen en un sistema informático. Para hacer esto, se utilizan varias utilidades que le permiten borrar el registro y/o deshabilitar la auditoría del sistema antes de comenzar a “trabajar”.

Para deshabilitar la auditoría, los piratas informáticos pueden abrir la consola MMC y deshabilitar la política de auditoría utilizando herramientas del sistema operativo. Otra herramienta más poderosa es la utilidad. auditpol.exe Kit de herramientas W2RK. Con su ayuda, puede deshabilitar (y habilitar) la auditoría de computadoras locales y remotas. Para hacer esto, ingrese el siguiente comando desde la línea de comando.

C:\Auditpol>auditpol \\sword-2000 /deshabilitar

Los resultados del trabajo aparecerán en la pantalla:

Parámetro de comando \\ espada-2000 es el nombre de la computadora remota y la clave /desactivar configura la auditoría para que esté deshabilitada en esta computadora. Utilidad auditpol.exe- una herramienta muy eficaz creada para gestionar los recursos de la red, pero también, como vemos, una herramienta de piratería muy cómoda. Para familiarizarse con sus capacidades, simplemente ingrese el comando auditoríapol/?, después de lo cual se mostrará en la pantalla información de ayuda sobre el uso de la utilidad. En particular, esta utilidad le permite habilitar/deshabilitar la auditoría de la base de datos SAM, que es un requisito previo para usar la utilidad. pwdump3.exe para recuperar contraseñas de la base de datos SAM.

La eliminación de los registros de seguridad se puede realizar utilizando el visor de registros de Windows 2000/XP o utilizando utilidades especiales (normalmente utilizadas por los piratas informáticos). En el primer caso, debes realizar los siguientes pasos.

Haga clic en el botón Inicio y en el menú principal que aparece, seleccione Configuración * Panel de control.

En el Panel de control que aparece, abra la carpeta Herramientas administrativas.

Haga doble clic en el subprograma Manejo informático(Gestión Informática). El cuadro de diálogo de la consola MMC aparecerá en la pantalla.

Abra las carpetas secuencialmente Utilidades * Visor de eventos(Herramientas del sistema * Visor de eventos).

Haga clic derecho en el elemento Seguridad(Registro de seguridad); Aparecerá un menú contextual.

Seleccione un comando del menú contextual Borrar todos los eventos(Borrar todos los eventos). Aparecerá un diálogo en la pantalla. Visor de eventos(Visor de eventos) con una propuesta para guardar eventos de registro en un archivo.

Haga clic en el botón No(No) si ya no necesita eventos registrados. Se borrará el registro.

Al realizar la operación de borrado del registro de seguridad, observe un rasgo característico. Cuando borra el registro de seguridad, todos los eventos se eliminan, pero inmediatamente se establece un nuevo evento: ¡el registro de auditoría acaba de borrarse! De esta manera, el hacker seguirá dejando su rastro: un registro vacío con un evento de borrado de registro registrado. A ver si las utilidades de los hackers nos pueden ayudar en este caso.

Intentemos utilizar la utilidad de limpieza del registro de eventos. elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Esta utilidad está diseñada principalmente para borrar registros en Windows NT 4, pero la última versión funciona en Windows 2000. Aquí se explica cómo ejecutarla desde la línea de comandos.

C:\els004>elsave -s \\sword-2000 -C

Aquí el modificador -s especifica el modo de purga remota y el modificador -C especifica la operación de purga de registros. Además de limpiar, la utilidad le permite copiar eventos de registro a un archivo. (Al escribir elsave /? se muestra ayuda para que pueda probar todas las funciones usted mismo). La verificación muestra que el inconveniente mencionado anteriormente persiste: usar la utilidad elsave.exe registrado en el registro de seguridad como un evento de borrado de registro, similar a usar el comando de borrado de registro usando un subprograma Manejo informático(Gestión Informática).

¿Cómo protegerse de todas estas utilidades? Debe eliminar (o disfrazar) todas las utilidades del kit W2RK de su computadora, instalar una auditoría de la base de datos SAM, el registro del sistema y todos los recursos importantes del sistema. Después de esto, deberá revisar periódicamente el registro de seguridad. Identificar eventos extraños de borrado de registros de seguridad o acceso a recursos protegidos ayudará a encontrar el rastro del hacker.

Conclusión

La piratería de redes informáticas es una actividad muy común de los piratas informáticos. Sin embargo, como vemos, esta es una tarea que requiere mucha mano de obra, y si quieres identificar este tipo de manipulación es bastante sencillo. Para hacer esto, simplemente use las plantillas de seguridad de Windows y descargue la plantilla de protección del servidor. Otras medidas de defensa pasiva incluyen la configuración de seguridad de Windows, firewalls y sistemas IDS. En casos especiales, el anti-hacker también puede recurrir a identificar al hacker utilizando sus propios métodos, ya que los sistemas IDS, por regla general, son capaces de identificar la dirección IP del intruso (por ejemplo, el programa BlacklCE Defender hace esto). Sin embargo, un anti-hacker debe tener en cuenta que, al penetrar en el ordenador de un hacker, él mismo se convierte en un enemigo, por lo que sería una buena idea utilizar servidores proxy y otros medios de disfraz.

Otra forma de obtener una contraseña es introducir un "caballo de Troya" en el ordenador de otra persona. Este es el nombre de un programa residente que funciona sin el conocimiento del propietario de una computadora determinada y realiza acciones especificadas por el atacante. En particular, este tipo de programa puede leer códigos de contraseña ingresados ​​por el usuario durante un inicio de sesión lógico.

Un programa troyano siempre se disfraza de alguna utilidad o juego útil, pero realiza acciones que destruyen el sistema. Operan según este principio. programas de virus, cuya característica distintiva es la capacidad de "infectar" otros archivos introduciendo en ellos sus propias copias. Muy a menudo, los virus infectan archivos ejecutables. Cuando dicho código ejecutable se carga en la RAM para su ejecución, el virus puede llevar a cabo sus acciones maliciosas junto con él. Los virus pueden causar daños o incluso la pérdida total de información.

Acciones ilegales de un usuario legal - Este tipo de amenaza proviene de usuarios legítimos de la red que, haciendo uso de su autoridad, intentan realizar acciones más allá del alcance de sus funciones oficiales. Por ejemplo, un administrador de red tiene derechos de acceso casi ilimitados. co todos los recursos de la red. Sin embargo, la empresa puede tener información a la que el administrador de la red tiene prohibido acceder. Para implementar estas restricciones, se pueden tomar medidas especiales, como el cifrado de datos, pero incluso en este caso, el administrador puede intentar obtener acceso a la clave. Un usuario normal de la red también puede intentar realizar acciones ilegales. Las estadísticas existentes muestran que casi la mitad de todos los intentos de violar la seguridad del sistema provienen de empleados de empresas que son usuarios legales de la red.

"Espiando el tráfico de la intranet... Se trata de monitoreo, captura y análisis de mensajes de red ilegales. Hay muchos analizadores de tráfico de software y hardware disponibles que hacen que esta tarea sea bastante trivial. La protección contra este tipo de amenazas se vuelve aún más difícil en redes conectadas globalmente. Las comunicaciones globales, que se extienden a lo largo de decenas y miles de kilómetros, son por naturaleza menos seguras que las comunicaciones locales (más oportunidades para espiar el tráfico, una posición más conveniente para un atacante al realizar procedimientos de autenticación). Este peligro es igualmente inherente a todos los tipos de canales de comunicación territorial y no depende en modo alguno de si se utilizan canales propios, alquilados o los servicios de redes territoriales de acceso público como Internet.

Sin embargo, el uso de redes públicas (estamos hablando principalmente de Internet) agrava aún más la situación. De hecho, el uso de Internet aumenta el peligro de interceptación de datos transmitidos a través de líneas de comunicación, el peligro de entrada no autorizada a los nodos de la red, ya que la presencia de una gran cantidad de piratas informáticos en Internet aumenta la probabilidad de intentos de ingresar ilegalmente a la red. computadora. Esto plantea una amenaza constante para las redes conectadas a Internet.

La propia Internet es un objetivo para todo tipo de atacantes. Dado que Internet se creó como un sistema abierto diseñado para el libre intercambio de información, no sorprende en absoluto que casi todos los protocolos de la pila TCP/IP tengan fallas de seguridad "inherentes". Usando estas deficiencias-| Sin embargo, los atacantes intentan cada vez más obtener acceso no autorizado a la información almacenada en sitios de Internet.

Enfoque sistemático de la seguridad.

Construir y mantener un sistema seguro requiere un enfoque sistemático. De acuerdo con este enfoque, en primer lugar, es necesario comprender toda la gama de posibles amenazas a una red específica y pensar en tácticas para cada una de estas amenazas. sus reflexiones. En esta lucha, se pueden y se deben utilizar los más diversos medios y técnicas: morales, éticos y legislativos, administrativos y psicológicos, y las capacidades protectoras del software y hardware de la red.

A moral y ética Los medios de protección incluyen todo tipo de normas que se han desarrollado a medida que las herramientas informáticas se han extendido en un país en particular. Por ejemplo, así como en la lucha contra la copia pirateada de programas se utilizan principalmente medidas educativas, es necesario inculcar en la conciencia de la gente la inmoralidad de todos los intentos de violar la confidencialidad, integridad y disponibilidad de los recursos de información de otras personas.

Legislativo Los remedios son leyes, regulaciones gubernamentales y decretos presidenciales, regulaciones y estándares que regulan las reglas para el uso y procesamiento de información de acceso restringido, y también introducen sanciones por violaciones de estas reglas. La regulación legal de las actividades en el campo de la protección de la información tiene como objetivo proteger la información que constituye un secreto de estado, garantizar los derechos de los consumidores a recibir productos de calidad, proteger los derechos constitucionales de los ciudadanos a mantener secretos personales y combatir el crimen organizado.

Medidas administrativas - Son acciones tomadas por la dirección de una empresa u organización para garantizar la seguridad de la información. Tales medidas incluyen reglas laborales específicas para los empleados de la empresa, por ejemplo, el horario de trabajo de los empleados, sus descripciones de trabajo, que definen estrictamente el procedimiento para trabajar con información confidencial en una computadora. Las medidas administrativas también incluyen reglas para la adquisición de equipos de seguridad por parte de una empresa. Los funcionarios de la administración responsables de proteger la información deben determinar qué tan seguro es utilizar productos comprados a proveedores extranjeros. Esto es especialmente cierto para los productos relacionados con el cifrado. En tales casos, es aconsejable comprobar si el producto dispone de un certificado emitido por organizaciones de pruebas rusas.

Medidas psicológicas Los sistemas de seguridad pueden desempeñar un papel importante en el fortalecimiento de la seguridad del sistema. No tener en cuenta los aspectos psicológicos en los procedimientos informales relacionados con la seguridad puede dar lugar a violaciones de la protección. Considere, por ejemplo, una red empresarial con muchos usuarios remotos. Los usuarios deben cambiar sus contraseñas de vez en cuando (una práctica común para evitar adivinar contraseñas). En este sistema, el administrador selecciona las contraseñas. En tales condiciones, un atacante puede llamar al administrador por teléfono e intentar obtener la contraseña en nombre de un usuario legítimo. Con una gran cantidad de usuarios remotos, es posible que una técnica psicológica tan simple funcione.

A físico Los medios de protección incluyen blindaje de las instalaciones para protegerlas contra la radiación, verificar que el equipo suministrado cumpla con sus especificaciones y la ausencia de "errores" de hardware, equipos de vigilancia externos, dispositivos que bloqueen el acceso físico a unidades informáticas individuales, varias cerraduras y otros equipos que protegen las instalaciones. dónde se encuentran los medios de almacenamiento, de entrada ilegal, etc., etc.

Técnico Los medios de seguridad de la información se implementan mediante software y hardware de redes informáticas. Estas herramientas, también llamadas servicios de seguridad de red, resuelven una amplia variedad de tareas de protección del sistema, por ejemplo, control de acceso, incluidos procedimientos de autenticación y autorización, auditoría, cifrado de información, protección antivirus, control de red y muchas otras tareas. Las medidas de seguridad técnicas pueden integrarse en el software (sistemas operativos y aplicaciones) y el hardware (computadoras y equipos de comunicaciones) de la red, o implementarse en forma de productos separados creados específicamente para resolver problemas de seguridad.

Política de seguridad

La importancia y complejidad del problema de seguridad requiere desarrollo políticas de seguridad de la información, lo que implica respuestas a las siguientes preguntas:

• ¿Qué información se debe proteger?
• ¿Qué daño sufrirá la empresa si se pierden o divulgan ciertos datos?
• ¿Quién o qué es una posible fuente de amenaza? qué¿Qué tipo de ataques a la seguridad del sistema se pueden realizar?
• ¿Qué medios se deben utilizar para proteger cada tipo de información?

Al formular una política de seguridad, los especialistas responsables de la seguridad del sistema deben tener en cuenta varios principios básicos. Uno de estos principios es proporcionar a cada empleado de la empresa nivel mínimo de privilegios acceso a los datos necesarios para el desempeño de sus funciones oficiales. Teniendo en cuenta que la mayoría de las violaciones de seguridad empresarial provienen de sus propios empleados, es importante introducir restricciones claras para todos los usuarios de la red, sin darles capacidades innecesarias.

El siguiente principio es el uso enfoque integrado para garantizar la seguridad. Para dificultar que un atacante acceda a los datos, es necesario proporcionar una variedad de medidas de seguridad, desde prohibiciones organizativas y administrativas hasta medios integrados en los equipos de red. Una prohibición administrativa de trabajar los domingos pone a un infractor potencial bajo el control visual del administrador y otros usuarios, las medidas de seguridad física (locales cerrados, llaves de bloqueo) limitan el contacto directo del usuario solo con la computadora que se le ha asignado, sistema operativo de red integrado Las herramientas (sistema de autenticación y autorización) evitan que usuarios ilegales ingresen a la red, y para un usuario legal limitan las posibilidades solo a las operaciones permitidas para él (el subsistema de auditoría registra sus acciones). Un sistema de protección de este tipo con redundancia múltiple de medios de seguridad aumenta la probabilidad de seguridad de los datos.

Cuando se utiliza un sistema de seguridad de varios niveles, es importante garantizar equilibrio de fiabilidad de la protección en todos los niveles. Si todos los mensajes de la red están cifrados, Pero Dado que las claves son fácilmente accesibles, el efecto del cifrado es cero. O si las computadoras tienen instalado un sistema de archivos que admite el acceso selectivo a nivel de archivos individuales, pero es posible obtener un disco duro e instalarlo en otra máquina, entonces todas las ventajas de la protección del sistema de archivos se reducen a nada. Si el tráfico externo de una red conectada a Internet pasa a través de un potente firewall, pero los usuarios pueden comunicarse con los hosts de Internet a través de líneas de acceso telefónico utilizando módems instalados localmente, entonces el dinero (generalmente bastante) gastado en el firewall puede considerarse arrojado al viento.

El siguiente principio universal es el uso de medios que, en caso de falla, entran en un estado máxima protección. Esto se aplica a una amplia variedad de funciones de seguridad. Si, por ejemplo, se avería un puesto de control automático de cualquier local, deberá fijarse en una posición tal que ninguna persona pueda entrar en el área protegida. Y si hay un dispositivo en la red que analiza todo el tráfico entrante y descarta tramas con una determinada dirección de retorno predeterminada, entonces, si falla, debería bloquear completamente la entrada a la red. Un dispositivo que permitiría que todo el tráfico externo ingrese a la red en caso de falla debe considerarse inaceptable.

El principio de un único puesto de control: Todo el tráfico que ingresa a la red interna y sale a la red externa debe pasar a través de un único nodo de red, por ejemplo, a través de un firewall. Sólo esto le permite controlar suficientemente el tráfico. De lo contrario, cuando hay muchas estaciones de usuario en la red que tienen acceso independiente a la red externa, es muy difícil coordinar las reglas que limitan los derechos de los usuarios de la red interna para acceder a los servidores de la red externa y viceversa: los derechos de los clientes externos. para acceder a las redes de recursos internos.

El principio de equilibrar los posibles daños derivados de la implementación de una amenaza y los costos de prevenirla. Ningún sistema de seguridad garantiza el 100% de protección de datos, ya que es el resultado de un compromiso entre posibles riesgos y posibles costes. Al determinar una política de seguridad, el administrador debe sopesar la cantidad de daño que una empresa puede sufrir como resultado de una violación de la seguridad de los datos y correlacionarlo con la cantidad de costos necesarios para garantizar la seguridad de estos datos. Por lo tanto, en algunos casos puede abandonar un firewall costoso en favor de las herramientas de filtrado estándar de un enrutador normal, mientras que en otros puede incurrir en costos sin precedentes. Lo principal es que la decisión que se tome esté justificada económicamente.

Al determinar una política de seguridad para una red con acceso a Internet, los expertos recomiendan dividir la tarea en dos partes: desarrollar una política de acceso a los servicios de la red de Internet y desarrollar una política de acceso a los recursos en la red interna de la empresa.

La Política de acceso a los servicios de red de Internet incluye los siguientes elementos:

• Defina una lista de servicios de Internet a los que los usuarios de la red interna deberían tener acceso limitado.
• Definir restricciones en los métodos de acceso, como el uso de SLIP (Serial Line Internet Protocol) y PPP (Point-to-Point Proto-col).
• Decidir si los usuarios externos de Internet pueden acceder a la red interna. En caso afirmativo, ¿a quién? A menudo sólo se permite el acceso a determinados servicios que son absolutamente necesarios para el funcionamiento de la empresa, como el correo electrónico.

La política de acceso a los recursos de la red interna de una empresa se puede expresar en uno de dos principios:

· prohibir todo lo que no esté expresamente permitido;

· permitir todo lo que no esté expresamente prohibido.

De acuerdo con el principio elegido, se determinan las reglas para el procesamiento de gráficos externos mediante firewalls o enrutadores. Implementar protección basada en el primer principio proporciona un mayor grado de seguridad, sin embargo, esto puede causar mayores inconvenientes a los usuarios y, además, este método de protección será mucho más costoso. Si se implementa el segundo principio, la red será menos segura, pero será más cómoda de usar y requerirá menos costos.