Mrežni napadi i tehnologije za njihovo otkrivanje. Mrežni napadi i načini zaštite od njih

20.06.05 37.3K

Internet u potpunosti mijenja naš način života: posao, učenje, slobodno vrijeme. Ove promjene će se dogoditi kako u oblastima koje već poznajemo (elektronska trgovina, pristup informacijama u realnom vremenu, povećane komunikacijske mogućnosti, itd.), tako i u onim oblastima o kojima još nemamo ideju.

Možda će doći vrijeme kada će korporacija sve svoje telefonske pozive obavljati preko Interneta, potpuno besplatno. U privatnom životu mogu se pojaviti posebne web stranice uz pomoć kojih roditelji u svakom trenutku mogu saznati kako im je djeca. Naše društvo tek počinje da shvata neograničene mogućnosti interneta.

Uvod

Istovremeno sa enormnim rastom popularnosti interneta, javlja se neviđena opasnost od otkrivanja ličnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

Hakeri svakodnevno prijete ovim resursima pokušavajući im pristupiti koristeći posebne napade koji s jedne strane postepeno postaju sofisticiraniji i lakši za izvođenje s druge. Dva glavna faktora doprinose tome.

Prvo, ovo je široka penetracija interneta. Danas postoje milioni uređaja povezanih na Internet, a mnogi milioni uređaja će biti povezani na Internet u bliskoj budućnosti, što čini sve vjerovatnijim da će hakeri dobiti pristup ranjivim uređajima.

Osim toga, široka upotreba interneta omogućava hakerima da razmjenjuju informacije na globalnom nivou. Jednostavna pretraga ključnih riječi kao što su “haker”, “hakiranje”, “hack”, “crack” ili “phreak” vratit će vam hiljade stranica, od kojih mnoge sadrže zlonamjerni kod i kako ga koristiti.

Drugo, ovo je najšira distribucija operativnih sistema i razvojnih okruženja lakih za korišćenje. Ovaj faktor naglo smanjuje nivo znanja i vještina potrebnih hakeru. Ranije, da bi kreirao i distribuirao aplikacije lake za korištenje, haker je morao imati dobre programerske vještine.

Sada, da biste dobili pristup hakerskom alatu, potrebno je samo znati IP adresu željenog sajta, a da biste izvršili napad, samo jednim klikom miša.

Klasifikacija mrežnih napada

Mrežni napadi su različiti kao i sistemi na koje ciljaju. Neki napadi su vrlo složeni, dok su drugi u mogućnostima običnog operatera, koji ni ne zamišlja posljedice svojih aktivnosti. Da biste procijenili tipove napada, morate znati neka od inherentnih ograničenja TPC/IP protokola. Net

Internet je stvoren za komunikaciju između vladinih agencija i univerziteta kako bi se pomogao obrazovni proces i naučno istraživanje. Kreatori ove mreže nisu ni slutili koliko će ona postati raširena. Kao rezultat toga, specifikacijama ranih verzija Internet protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije inherentno ranjive.

Nakon mnogo godina, nakon mnogih pritužbi (Request for Comments, RFC), sigurnosne mjere za IP konačno su počele da se implementiraju. Međutim, zbog činjenice da mjere sigurnosti za IP protokol nisu inicijalno razvijene, sve njegove implementacije su počele da se dopunjuju raznim mrežnim procedurama, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo ukratko pogledati tipove napada koji se obično koriste na IP mreže i navesti načine za borbu protiv njih.

Sniffer paketa

Sniffer paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala u aplikaciju na obradu).

U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određeni domen. Trenutno njuškari rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnostiku kvarova i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3, itd..), pomoću njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sistema. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.

Ako aplikacija radi u klijent-server modu, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri suviše dobro poznaju i iskorištavaju ljudske slabosti (metode napada su često zasnovane na metodama društvenog inženjeringa).

Oni su svjesni da koristimo istu lozinku za pristup mnogim resursima i stoga često uspijevaju dobiti pristup važnim informacijama tako što saznaju našu lozinku. U najgorem slučaju, haker dobija pristup korisničkom resursu na nivou sistema i koristi ga za kreiranje novog korisnika koji se može koristiti u bilo kom trenutku za pristup mreži i njenim resursima.

Možete smanjiti opasnost od njuškanja paketa korištenjem sljedećih alata::

Autentifikacija. Jaka autentifikacija je najvažnija odbrana od njuškanja paketa. Pod “jakim” mislimo na metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP).

OTP je tehnologija dvofaktorske autentifikacije koja kombinuje ono što imate sa onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata koji vas identificira, prvo, po vašoj plastičnoj kartici, a drugo po PIN kodu koji unesete. PIN kod i vaša lična kartica su takođe potrebni za autentifikaciju u OTP sistemu.

Pod "karticom" (token) podrazumijevamo hardverski ili softverski alat koji generiše (po principu slučajnog odabira) jedinstvenu jednokratnu, jednokratnu lozinku. Ako haker sazna ovu lozinku pomoću njuškala, tada će ti podaci biti beskorisni, jer će u tom trenutku lozinka već biti korištena i povučena.

Imajte na umu da je ovaj metod borbe protiv njuškanja efikasan samo u slučajevima presretanja lozinke. Njuškači koji presreću druge informacije (kao što su poruke e-pošte) ostaju na snazi.

Komutirana infrastruktura. Drugi način za borbu protiv njuškanja paketa u vašem mrežnom okruženju je kreiranje komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi dial-up Ethernet, hakeri mogu pristupiti samo prometu koji dolazi na port na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

Antisniffers. Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi alati za sigurnost mreže, uključeni u cjelokupni sistem zaštite. Antisniffers mjere vrijeme odgovora hosta i određuju da li hostovi moraju obraditi nepotreban promet. Jedan takav proizvod, dostupan od LOpht Heavy Industries, zove se AntiSniff.

Kriptografija. Ovo je najefikasniji način borbe protiv njuškanja paketa, iako ne sprečava presretanje i ne prepoznaje rad njuškača, ali čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv niz bitova). Cisco kriptografija na mrežnom sloju zasnovana je na IPSec-u, koji je standardni metod za sigurnu komunikaciju između uređaja koristeći IP protokol. Ostali kriptografski protokoli za upravljanje mrežom uključuju SSH (Secure Shell) i SSL (Secure Socket Layer) protokole.

IP lažiranje

IP lažiranje se događa kada se haker, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je u opsegu ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima.

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad, koji počinje sa tuđe adrese, skrivajući pravi identitet hakera.

Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između klijentske i serverske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja.

Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, čak ni ne pokušavaju da dobiju odgovor od aplikacija - ako je glavni cilj da dobiju važnu datoteku iz sistema, onda odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tabele rutiranja i usmjeriti promet na lažnu IP adresu, on će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

  • Kontrole pristupa. Najlakši način da spriječite lažiranje IP-a je da pravilno konfigurirate kontrolu pristupa. Da biste smanjili efikasnost lažiranja IP-a, konfigurišite kontrolu pristupa tako da odbije svaki saobraćaj koji dolazi sa spoljne mreže sa izvornom adresom koja bi se trebala nalaziti unutar vaše mreže.

    Istina, ovo pomaže u borbi protiv lažiranja IP-a, kada su ovlaštene samo interne adrese; ako su neke vanjske mrežne adrese također ovlaštene, ova metoda postaje neefikasna;

  • RFC 2827 filtriranje. Možete spriječiti korisnike na vašoj mreži da lažiraju mreže drugih ljudi (i postati dobar građanin na mreži). Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije.

    Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvršiti vaš Internet provajder (ISP). Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primer, ako ISP obezbedi vezu na IP adresu 15.1.1.0/24, može da konfiguriše filter tako da je dozvoljen samo saobraćaj koji potiče od 15.1.1.0/24 sa tog interfejsa na ruter ISP-a.

Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova efikasnost će biti mnogo niža od moguće. Osim toga, što ste dalje od uređaja koji se filtriraju, to je teže izvršiti preciznu filtraciju. Na primjer, RFC 2827 filtriranje na nivou pristupnog rutera zahtijeva prolazak cijelog saobraćaja sa glavne mrežne adrese (10.0.0.0/8), dok je na distributivnom nivou (u datoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1.5.0/24).

Najefikasnija metoda za borbu protiv lažiranja IP-a je ista kao u slučaju njuškanja paketa: morate učiniti napad potpuno neefikasnim. IP lažiranje može funkcionirati samo ako je autentifikacija zasnovana na IP adresama.

Stoga, uvođenje dodatnih metoda provjere autentičnosti takve napade čini beskorisnim. Najbolja vrsta dodatne autentifikacije je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.

Uskraćivanje usluge

Uskraćivanje usluge (DoS) je bez sumnje najpoznatiji oblik hakerskih napada. Osim toga, od ovih vrsta napada najteže je stvoriti 100% zaštitu. Među hakerima se DoS napadi smatraju dečjom igrom, a njihova upotreba izaziva prezrivo osmehivanje, jer organizovanje DoS-a zahteva minimum znanja i veština.

Ipak, upravo jednostavnost implementacije i enormni razmjeri prouzrokovane štete DoS privlači veliku pažnju administratora odgovornih za sigurnost mreže. Ako želite saznati više o DoS napadima, trebali biste razmotriti najpoznatije vrste, a to su:

  • TCP SYN Flood;
  • Ping smrti;
  • Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trinity.

Odličan izvor sigurnosnih informacija je Tim za kompjuterski hitan odgovor (CERT), koji je objavio odličan rad u borbi protiv DoS napada.

DoS napadi se razlikuju od drugih vrsta napada. Oni nemaju za cilj dobivanje pristupa vašoj mreži, niti dobivanje bilo kakvih informacija iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem prihvatljivih ograničenja mreže, operativnog sistema ili aplikacije.

U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo zadržavanje zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internet protokole kao što su TCP i ICMP ( Internet Control Message Protocol).

Većina DoS napada ne cilja na softverske greške ili sigurnosne rupe, već na opšte slabosti u arhitekturi sistema. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa.

Ovu vrstu napada je teško spriječiti jer je potrebna koordinacija s provajderom. Ako kod provajdera ne zaustavite promet koji ima za cilj da preplavi vašu mrežu, tada to više nećete moći učiniti na ulazu u mrežu, jer će sav propusni opseg biti zauzet. Kada se ova vrsta napada izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (distributed DoS, DDoS).

Pretnja od DoS napada može se smanjiti na tri načina:

  • Funkcije protiv lažiranja. Ispravno konfiguriranje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. U najmanju ruku, ove karakteristike treba da uključuju RFC 2827 filtriranje Ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će izvršiti napad.
  • Anti-DoS funkcije. Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
  • Ograničavanje brzine saobraćaja. Organizacija može zatražiti od svog Internet provajdera (ISP) da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje obima ICMP prometa, koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom koristeći brojne metode, kao što su napad brutalne sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti putem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se zove jednostavna pretraga (napad grube sile).

Često takav napad koristi poseban program koji pokušava dobiti pristup javnom resursu (na primjer, serveru). Ako se kao rezultat toga hakeru odobri pristup resursima, tada ga prima s pravima običnog korisnika čija je lozinka odabrana.

Ako ovaj korisnik ima značajne privilegije pristupa, haker može kreirati "pass" za budući pristup koji će ostati važeći čak i ako korisnik promijeni svoju lozinku i login.

Drugi problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sistemima: korporativnim, ličnim i Internet sistemima. Pošto je jačina lozinke jednaka snazi ​​najslabijeg hosta, haker koji nauči lozinku preko tog hosta dobija pristup svim drugim sistemima gde se koristi ista lozinka.

Napadi lozinkom se mogu izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktično eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.).

Najbolje lozinke je teško pogoditi i teško pamtiti, što primorava korisnike da ih zapišu na papir. Da bi to izbjegli, korisnici i administratori mogu koristiti brojna nedavna tehnološka dostignuća.

Na primjer, postoje aplikativni programi koji šifriraju listu lozinki koje se mogu pohraniti u džepni računar. Kao rezultat, korisnik treba da zapamti samo jednu složenu lozinku, dok će sve ostale biti pouzdano zaštićene aplikacijom.

Postoji nekoliko metoda kojima se administrator može boriti protiv pogađanja lozinke. Jedan od njih je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u Windows NT okruženju. Ovaj alat će vam brzo pokazati da li je lozinku koju je korisnik izabrao lako pogoditi. Za više informacija posjetite http://www.l0phtcrack.com/.

Čovjek u sredini napada

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja.

Napadi se sprovode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i pribavljanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, izobličenja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

Napadi čovjeka u sredini mogu se efikasno suzbiti samo pomoću kriptografije. Ako haker presretne podatke iz šifrovane sesije, ono što će se pojaviti na njegovom ekranu nije presretnuta poruka, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to bi moglo učiniti mogućim napad Man-in-the-Middle čak iu šifriranom okruženju.

Napadi na nivou aplikacije

Napadi na nivou aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti serverskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računaru kao korisnik koji pokreće aplikaciju (obično ne običan korisnik, već privilegovani administrator sa pravima pristupa sistemu).

Informacije o napadima na nivou aplikacije se široko objavljuju kako bi se administratorima pružila prilika da isprave problem koristeći korektivne module (zakrpe). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.

Glavni problem sa napadima na nivou aplikacije je taj što hakeri često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji iskorištava poznatu slabost web servera će često koristiti port 80 u TCP napadu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

Napadi na razini aplikacije ne mogu se u potpunosti eliminirati. Hakeri neprestano otkrivaju i objavljuju nove propuste u aplikacijskim programima na internetu. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko mjera koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

  • čitanje operativnih sistema i mrežnih log datoteka i/ili analiziranje pomoću posebnih analitičkih aplikacija;
  • Pretplatite se na uslugu prijavljivanja ranjivosti aplikacije: Bugtrad (http://www.securityfocus.com).

Mrežna inteligencija

Mrežna inteligencija se odnosi na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje se vrši u obliku DNS upita, pingova i skeniranja portova.

DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje adrese su dodijeljene toj domeni. Ping adresa koje otkriva DNS omogućava vam da vidite koji se hostovi zapravo pokreću u datom okruženju. Nakon što primi listu hostova, haker koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.

Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP eho i eho odgovor na rubnim ruterima, riješit ćete se ping testiranja, ali gubite podatke potrebne za dijagnosticiranje grešaka na mreži.

Osim toga, možete skenirati portove bez preliminarnog ping testiranja - samo će vam trebati više vremena, jer ćete morati skenirati nepostojeće IP adrese. IDS sistemi na nivou mreže i hosta obično rade dobar posao upozoravanja administratora na tekuće izviđanje mreže, omogućavajući im da se bolje pripreme za predstojeći napad i upozore provajdera internetskih usluga (ISP) na čijoj mreži je sistem previše radoznao:

  1. koristiti najnovije verzije operativnih sistema i aplikacija i najnovije module za korekciju (zakrpe);
  2. Osim administracije sistema, koristite sisteme za otkrivanje napada (IDS) - dvije komplementarne ID tehnologije:
    • Mrežni IDS sistem (NIDS) nadgleda sve pakete koji prolaze kroz određeni domen. Kada NIDS sistem vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerovatnog napada, generiše alarm i/ili prekida sesiju;
    • IDS sistem (HIDS) štiti host koristeći softverske agente. Ovaj sistem se bori samo protiv napada na jednog domaćina.

IDS sistemi u svom radu koriste signature napada, koji su profili određenih napada ili vrsta napada. Potpisi definišu uslove pod kojima se saobraćaj smatra hakerskim. Analozi IDS-a u fizičkom svijetu mogu se smatrati sistemom upozorenja ili nadzornom kamerom.

Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Da bi se smanjio broj lažnih alarma i osigurao ispravno funkcionisanje IDS sistema u mreži, neophodna je pažljiva konfiguracija sistema.

Kršenje povjerenja

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zloupotrebe je situacija u perifernom dijelu korporativne mreže.

Ovaj segment često sadrži DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, hakovanje bilo kojeg od njih dovodi do hakovanja svih ostalih, jer ovi serveri vjeruju drugim sistemima na svojoj mreži.

Drugi primjer je sistem instaliran na vanjskoj strani zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim na unutrašnjoj strani zaštitnog zida. Ako je vanjski sistem kompromitovan, haker može koristiti odnos povjerenja da prodre u sistem zaštićen zaštitnim zidom.

Rizik od kršenja povjerenja može se smanjiti strožijom kontrolom nivoa povjerenja unutar vaše mreže. Sistemi koji se nalaze izvan zaštitnog zida nikada ne bi trebali imati apsolutno povjerenje od sistema zaštićenih zaštitnim zidom.

Odnosi povjerenja trebaju biti ograničeni na specifične protokole i, ako je moguće, provjereni parametrima koji nisu IP adrese.

Port Forwarding

Prosljeđivanje portova je oblik zloupotrebe povjerenja u kojem se kompromitovani host koristi za propuštanje saobraćaja kroz zaštitni zid koji bi inače bio odbijen. Zamislimo zaštitni zid sa tri interfejsa, od kojih je svaki povezan sa određenim hostom.

Eksterni host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutarnjoj strani zaštitnog zida. Dijeljeni host se može povezati i na interni i na eksterni host. Ako haker preuzme zajednički host, može na njega instalirati softver koji preusmerava saobraćaj sa eksternog hosta direktno na interni.

Iako ovo ne krši nijedno pravilo na ekranu, vanjski host dobiva direktan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti takav pristup je netcat. Više informacija možete pronaći na http://www.avian.org.

Glavni način borbe protiv prosljeđivanja portova je korištenje modela snažnog povjerenja (pogledajte prethodni odjeljak). Osim toga, host IDS sistem (HIDS) može spriječiti hakera da instalira svoj softver na hostu.

Neovlašteni pristup

Neovlašteni pristup se ne može identificirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobijanja neovlaštenog pristupa. Da bi pogodio Telnet login, haker prvo mora dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, poruka "potrebna je autorizacija za korištenje ovog resursa" (" Za korištenje ovog resursa potrebna je autorizacija.»).

Ako haker nastavi pokušavati pristup nakon ovoga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

Metode za borbu protiv neovlaštenog pristupa su prilično jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sistemu korištenjem neovlaštenog protokola.

Kao primjer, razmotrite sprječavanje hakera da pristupe Telnet portu na serveru koji pruža Web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče firewall-a, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika su vrlo ranjive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubacuju u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji je upisan u datoteku command.com (glavni tumač Windows sistema) i briše druge datoteke, a također inficira sve ostale verzije command.com koje pronađe.

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvari igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra na radnoj stanici korisnika.

Međutim, dok korisnik igra igru, program šalje kopiju sebe putem e-pošte svakom pretplatniku u adresaru tog korisnika. Svi pretplatnici dobijaju igru ​​poštom, što uzrokuje njenu dalju distribuciju.

Borba protiv virusa i trojanskih konja odvija se uz pomoć efikasnog antivirusnog softvera koji radi na nivou korisnika i, eventualno, na nivou mreže. Antivirusni proizvodi otkrivaju većinu virusa i trojanskih konja i zaustavljaju njihovo širenje.

Dobivanje najnovijih informacija o virusima pomoći će vam da se efikasnije borite protiv njih. Kako se pojavljuju novi virusi i trojanski konji, preduzeća moraju instalirati nove verzije antivirusnih alata i aplikacija.

Prilikom pisanja ovog članka korišćeni su materijali koje je obezbedio Cisco Systems.

Dobro loše

Ulaznica 1. Osnovni koncepti i definicije informacione sigurnosti: napadi, ranjivosti, sigurnosne politike, sigurnosni mehanizmi i usluge. Klasifikacija napada. Modeli sigurnosti mreže i sigurnosti informacionih sistema

Ranjivost - slaba tačka u sistemu koja se može koristiti za izvođenje napad.

Rizik - vjerovatnoća da će određena napad vršit će se korištenjem specifičnog ranjivosti. Na kraju, svaka organizacija mora odlučiti koji je nivo za nju prihvatljiv. rizik. Ova odluka treba da se odrazi na bezbednosnu politiku koju je usvojila organizacija.

Sigurnosna politika — pravila, smjernice i prakse koje određuju kako se informaciona sredstva obrađuju, štite i distribuiraju unutar organizacije i između informacionih sistema; skup kriterijuma za obezbeđivanje sigurnosne službe.

Napad - svaka radnja koja narušava sigurnost informacionog sistema. Formalnije možemo to reći napad- je akcija ili niz međusobno povezanih radnji pomoću ranjivosti ovog informacionog sistema i dovodi do kršenja sigurnosne politike.

Sigurnosni mehanizam - softver i/ili hardver koji detektuje i/ili sprečava napad.

Služba obezbeđenja - usluga koja obezbjeđuje politiku definiranu sigurnost sistema i/ili prenesenih podataka, ili određuje implementaciju napada. Servis koristi jedan ili više sigurnosnih mehanizama.
^

Model mrežne sigurnosti Klasifikacija mrežnih napada


Sve napada mogu se podijeliti u dvije klase: pasivno I aktivan.

I. Pasivni napad

Ovo se zove pasivno napad , s kojim neprijatelj nema mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka u informativni kanal između pošiljaoca i primaoca. Svrha pasivni napad može postojati samo slušanje poslanih poruka i analiza saobraćaja.

Ovo se zove aktivno napad , s kojim neprijatelj ima mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka. Razlikuju se sljedeće vrste: aktivni napadi:

^ II. Aktivan napad

Uskraćivanje usluge - DoS napad (odbijanje usluge)

Uskraćivanje usluge remeti normalno funkcionisanje mrežnih usluga. Neprijatelj može presresti sve poruke poslane određenom primaocu. Još jedan primjer ovoga napada je stvaranje značajnog prometa, što rezultira time da mrežna usluga ne može obraditi zahtjeve legitimnih klijenata. Klasičan primjer je napada u TCP/IP mrežama je SYN napad u kojem napadač šalje pakete koji iniciraju uspostavljanje TCP veze, ali ne šalje pakete koji dovršavaju uspostavljanje ove veze. Kao rezultat toga, server može postati preopterećen i server se možda neće moći povezati s legitimnim korisnicima.

^ Model sigurnosti informacionog sistema

Postoje i druge situacije vezane za sigurnost koje se ne uklapaju u model mrežne sigurnosti opisan gore. Opšti obrazac ovih situacija može se ilustrirati na sljedeći način:

Ovaj model ilustruje koncept sigurnosti informacionog sistema, koji sprečava neželjeni pristup. Haker koji pokušava ilegalno prodrijeti u sisteme dostupne preko mreže može jednostavno uživati ​​u hakiranju, ili možda pokušava oštetiti informacioni sistem i/ili u njega uvesti nešto za svoje potrebe. Na primjer, cilj hakera može biti da dobije brojeve kreditnih kartica pohranjenih u sistemu.

Druga vrsta neželjenog pristupa je postavljanje nečega na računarski sistem što utiče na aplikativne programe i softverske uslužne programe, kao što su uređivači, kompajleri i slično. Dakle, postoje dvije vrste napada:


  1. Pristup informacijama u svrhu pribavljanja ili modifikacije podataka pohranjenih u sistemu.

  2. ^ Napad uslugama kako bi vas spriječili da ih koristite.
Primjeri su virusi i crvi napada. Takve napada može se izvesti pomoću disketa ili preko mreže.

^ Sigurnosne usluge , koji sprečavaju neželjeni pristup, mogu se podijeliti u dvije kategorije:


  1. Prva kategorija je definirana u smislu funkcije čuvara. Ove mehanizama uključuju procedure za prijavu, kao što su one zasnovane na lozinki, kako bi se pristup ograničio samo na ovlaštene korisnike. Ove mehanizama također uključuju razne zaštitne zaslone (firewall) koji sprječavaju napada na različitim nivoima steka TCP/IP protokola, a posebno vam omogućavaju da spriječite prodor crva, virusa, kao i spriječite druge slične napada.

  2. Drugu liniju odbrane čine različiti interni monitori koji kontrolišu pristup i analiziraju aktivnosti korisnika.
Jedan od glavnih koncepata pri osiguravanju sigurnosti informacionog sistema je koncept autorizacija - definiranje i dodjeljivanje prava pristupa određenim resursima i/ili objektima.

Sigurnost informacionog sistema treba da se zasniva na sledećim osnovnim principima:


  1. Sigurnost informacionog sistema mora biti u skladu sa ulogom i ciljevima organizacije u kojoj je sistem instaliran.

  2. Osiguravanje sigurnosti informacija zahtijeva integriran i holistički pristup.

  3. Sigurnost informacija treba da bude sastavni dio sistema upravljanja u datoj organizaciji.

  4. Sigurnost informacija mora biti ekonomski opravdana.

  5. Odgovornosti za sigurnost moraju biti jasno definirane.

  6. Sigurnost informacionog sistema mora se periodično ponovo procjenjivati.

  7. Društveni faktori, kao i administrativne, organizacione i fizičke mjere sigurnosti, od velikog su značaja za osiguranje sigurnosti informacionog sistema.

Postoji veliki izbor različitih kompjuterskih konfiguracija, operativnih sistema i mrežne opreme, međutim, to ne postaje prepreka pristupu globalnoj mreži. Ovakva situacija je omogućena zahvaljujući univerzalnom mrežnom protokolu TCP/IP, koji uspostavlja određene standarde i pravila za prenos podataka preko Interneta. Nažalost, ova univerzalnost je dovela do toga da su računari koji koriste ovaj protokol postali podložni vanjskim utjecajima, a budući da se TCP/IP protokol koristi na svim računarima povezanim na Internet, napadači ne moraju razvijati individualne načine pristupa tuđim mašine.

Mrežni napad je pokušaj uticaja na udaljeni računar korišćenjem softverskih metoda. Po pravilu, svrha mrežnog napada je narušavanje povjerljivosti podataka, odnosno krađa informacija. Osim toga, mrežni napadi se provode kako bi se dobio pristup tuđem računaru i naknadno promijenili fajlovi koji se nalaze na njemu.

Postoji nekoliko vrsta klasifikacija mrežnih napada. Jedan od njih je zasnovan na principu uticaja. Pasivni mrežni napadi imaju za cilj dobijanje poverljivih informacija sa udaljenog računara. Takvi napadi, na primjer, uključuju čitanje dolaznih i odlaznih poruka e-pošte. Što se tiče aktivnih mrežnih napada, njihov zadatak nije samo pristup određenim informacijama, već i njihova modifikacija. Jedna od najznačajnijih razlika između ovih vrsta napada je ta što je pasivno smetnje gotovo nemoguće otkriti, dok su efekti aktivnog napada obično uočljivi.

Osim toga, napadi se klasificiraju prema ciljevima kojima služe. Među glavnim zadacima, po pravilu, su ometanje rada računara, neovlašćeni pristup informacijama i skrivena modifikacija podataka pohranjenih na računaru. Na primjer, hakovanje školskog servera radi promjene ocjena u časopisima klasificira se kao aktivni mrežni napadi trećeg tipa.

Tehnologije zaštite

Metode zaštite od mrežnih napada stalno se razvijaju i unapređuju, ali nijedan od njih ne daje potpunu garanciju. Činjenica je da svaka statična odbrana ima slabosti, jer je nemoguće zaštititi se od svega odjednom. Što se tiče dinamičkih metoda zaštite, kao što su statističke, ekspertske, fuzzy logičke i neuronske mreže, i one imaju svoje slabosti, jer se baziraju prvenstveno na analizi sumnjivih radnji i upoređivanju sa poznatim metodama mrežnih napada. Shodno tome, većina odbrambenih sistema popušta pred nepoznatim vrstama napada, prekasno počinju da odbijaju upad. Međutim, savremeni sigurnosni sistemi napadaču toliko otežavaju pristup podacima da je racionalnije tražiti drugu žrtvu.

Još uvijek ne postoji precizna definicija pojma „napad“ (invazija, napad). Svaki stručnjak za sigurnost to tumači drugačije. Sljedeću definiciju smatram najispravnijom i najpotpunijom.

Napad Napadi na informacioni sistem su namjerne radnje napadača koje iskorištavaju ranjivosti informacionog sistema i dovode do narušavanja dostupnosti, integriteta i povjerljivosti obrađenih informacija.

Ako eliminišemo ranjivosti informacionog sistema, eliminisaćemo i mogućnost napada.

Trenutno se smatra nepoznatim koliko metoda napada postoji. Kažu da još uvijek nema ozbiljnih matematičkih istraživanja u ovoj oblasti. Ali još 1996. godine, Fred Cohen je opisao matematičku osnovu virusne tehnologije. Ovaj rad je dokazao da je broj virusa beskonačan. Očigledno, broj napada je beskonačan, budući da su virusi podskup mnogih napada.

Attack Models

Tradicionalni model napada se gradi po principu (sl. 1) ili (sl. 2), tj. napad dolazi iz jednog izvora. Programeri alata za mrežnu sigurnost (firewall, sistemi za otkrivanje napada, itd.) su posebno fokusirani na tradicionalni model napada. Na različitim tačkama zaštićene mreže instalirani su agenti (senzori) sistema zaštite koji prenose informacije na centralnu upravljačku konzolu. Ovo olakšava skaliranje sistema, omogućava jednostavno upravljanje na daljinu itd. Međutim, ovaj model se ne nosi sa relativno nedavno (1998.) otkrivenom prijetnjom - distribuiranim napadima.
Slika 1. Odnos jedan-na-jedan

Model distribuiranog napada koristi različite principe. Za razliku od tradicionalnog modela u distribuiranom modelu koriste se relacije (slika 3) i (slika 4).

Distribuirani napadi su zasnovani na "klasičnim" napadima uskraćivanja usluge, a preciznije na njihovom podskupu poznatom kao Napadi poplava ili Napadi oluje(ovi termini se mogu prevesti kao “oluja”, “poplava” ili “lavina”). Smisao ovih napada je slanje velikog broja paketa napadnutom čvoru. Napadnuti čvor može propasti jer će se "zagušiti" u lavini poslanih paketa i neće moći obraditi zahtjeve ovlaštenih korisnika. Napadi SYN-Flood, Smurf, UDP Flood, Targa3, itd. rade na ovom principu. Međutim, ako kapacitet kanala do napadnutog čvora premašuje kapacitet napadača ili je napadnuti čvor pogrešno konfiguriran, tada takav napad neće dovesti do "uspjeha". Na primjer, beskorisno je pokušavati poremetiti vašeg ISP-a koristeći ove napade. Ali distribuirani napad se više ne događa s jedne tačke na Internetu, već s nekoliko odjednom, što dovodi do naglog povećanja prometa i onemogućuje napadnuti čvor. Na primjer, prema Russia-Online, dva dana, počevši od 9 sati ujutro 28. decembra 2000. godine, najveći internet provajder u Jermeniji, Arminco, bio je podvrgnut distribuiranom napadu. U ovom slučaju se više od 50 mašina iz različitih zemalja pridružilo napadu i poslalo besmislene poruke na adresu Arminco. Bilo je nemoguće utvrditi ko je organizovao ovaj napad i u kojoj zemlji se haker nalazi. Iako je napadnut uglavnom Arminco, cijeli autoput koji povezuje Jermeniju sa World Wide Webom bio je preopterećen. Dana 30. decembra, zahvaljujući saradnji "Arminca" i drugog provajdera - "ArmenTela" - veza je u potpunosti obnovljena. Uprkos tome, kompjuterski napad se nastavio, ali manjeg intenziteta.

Faze implementacije napada

Mogu se razlikovati sljedeće faze napada:

Obično, kada se govori o napadu, misli se na drugu fazu, zaboravljajući na prvu i posljednju. Prikupljanje informacija i završetak napada („prikrivanje tragova“), zauzvrat, takođe može predstavljati napad i može se podijeliti u tri faze (vidi sliku 5).
Slika 5. Faze implementacije napada

Prikupljanje informacija je glavna faza napada. U ovoj fazi je efikasnost napadača ključ „uspjeha“ napada. Prvo se odabire cilj napada i prikupljaju se informacije o njemu (tip i verzija operativnog sistema, otvoreni portovi i pokrenuti mrežni servisi, instalirani sistemski i aplikativni softver i njegova konfiguracija, itd.). Tada se identifikuju najranjivije tačke napadnutog sistema čiji uticaj dovodi do željenog rezultata za napadača. Napadač pokušava identificirati sve kanale interakcije između cilja napada i drugih čvorova. Ovo će vam omogućiti ne samo da odaberete vrstu napada koji će se implementirati, već i izvor njegove implementacije. Na primjer, napadnuti čvor stupa u interakciju sa dva servera koji koriste Unix i Windows NT. Napadnuti čvor ima pouzdan odnos s jednim serverom, ali ne i s drugim. Server preko kojeg će napadač implementirati napad određuje koji će se napad koristiti, koja će se sredstva implementacije odabrati itd. Zatim, ovisno o primljenim informacijama i željenom rezultatu, odabire se napad koji daje najveći učinak. Na primjer:
SYN Flood, Teardrop, UDP Bomb - za ometanje funkcionisanja čvora;
CGI skripta - za prodiranje u čvor i krađu informacija;
PHF - za krađu datoteke lozinke i daljinsko pogađanje lozinke, itd.

Tradicionalna sredstva zaštite, poput firewall-a ili mehanizama za filtriranje u ruterima, stupaju na snagu tek u drugoj fazi napada, potpuno "zaboravljajući" na prvu i treću. To dovodi do činjenice da je napad često vrlo teško zaustaviti, čak i uz moćnu i skupu odbranu. Primjer za to su distribuirani napadi. Logično bi bilo da zaštitna oprema proradi u prvoj fazi, tj. spriječilo bi mogućnost prikupljanja informacija o napadnutom sistemu. To bi omogućilo, ako ne u potpunosti spriječiti napad, onda barem značajno otežati rad napadača. Tradicionalna sredstva takođe ne dozvoljavaju otkrivanje napada koji su već počinjeni i procenu štete nakon njihovog sprovođenja, tj. ne rade u trećoj fazi napada. Stoga je nemoguće odrediti mjere za sprječavanje ovakvih napada u budućnosti.

U zavisnosti od željenog rezultata, napadač se koncentriše na jednu ili drugu fazu napada. Na primjer:
za uskraćivanje usluge, napadnuta mreža se detaljno analizira, traže rupe i slabosti;
za krađu informacija, glavni fokus je na tihom prodoru u napadnute čvorove koristeći ranije otkrivene ranjivosti.

Razmotrimo glavne mehanizme za implementaciju napada. Ovo je neophodno za razumijevanje kako otkriti ove napade. Osim toga, razumijevanje načina na koji napadači rade je ključ uspješne odbrane mreže.

1. Prikupljanje informacija

Prva faza implementacije napada je prikupljanje informacija o napadnutom sistemu ili čvoru. Uključuje radnje kao što su određivanje topologije mreže, vrste i verzije operativnog sistema napadnutog čvora, kao i dostupnih mrežnih i drugih usluga itd. Ove akcije se provode različitim metodama.

Istraživanje okoline

U ovoj fazi, napadač istražuje mrežno okruženje oko ciljanog cilja napada. Takva područja, na primjer, uključuju domaćine internet provajdera žrtve ili hostove udaljene kancelarije napadnute kompanije. U ovoj fazi, napadač može pokušati da odredi adrese "pouzdanih" sistema (na primjer, mreže partnera) i čvorova koji su direktno povezani sa ciljem napada (na primjer, ISP ruter) itd. Takve radnje je prilično teško otkriti jer se izvode u prilično dugom vremenskom periodu i izvan područja pod kontrolom sigurnosnih mjera (firewall, sistemi za detekciju upada itd.).

Identifikacija mrežne topologije

Postoje dvije glavne metode koje napadači koriste za određivanje topologije mreže:

  1. TTL promjena (TTL modulacija),
  2. rekord rute.

Prva metoda koristi traceroute za Unix i tracert za Windows programe. Oni koriste polje Time to Live u zaglavlju IP paketa, koje varira u zavisnosti od broja rutera koje mrežni paket prolazi. Pomoćni program za ping se može koristiti za snimanje rute ICMP paketa. Često se topologija mreže može odrediti korištenjem SNMP protokola instaliranog na mnogim mrežnim uređajima čija sigurnost nije ispravno konfigurirana. Koristeći RIP protokol, možete pokušati dobiti informacije o tablici rutiranja na mreži itd.

Mnoge od ovih metoda koriste savremeni sistemi upravljanja (na primjer, HP OpenView, Cabletron SPECTRUM, MS Visio, itd.) za pravljenje mrežnih mapa. I te iste metode napadači mogu uspješno koristiti da naprave mapu napadnute mreže.

Identifikacija čvora

Host se identifikuje, u pravilu, slanjem naredbe ECHO_REQUEST ICMP pomoću ping uslužnog programa. Poruka odgovora ECHO_REPLY označava da je čvor dostupan. Postoje besplatno dostupni programi koji automatiziraju i ubrzavaju proces paralelne identifikacije velikog broja čvorova, na primjer, fping ili nmap. Opasnost ove metode je da zahtjevi ECHO_REQUEST ne snimaju standardni alati čvora. Da biste to učinili, trebate koristiti alate za analizu prometa, firewall ili sisteme za otkrivanje napada.

Ovo je najjednostavniji metod za identifikaciju čvorova. Međutim, ima dva nedostatka.

  1. Mnogi mrežni uređaji i programi blokiraju ICMP pakete i ne dozvoljavaju im da uđu u internu mrežu (ili, obrnuto, ne dozvoljavaju im da prođu van). Na primjer, MS Proxy Server 2.0 ne dozvoljava prolazak paketa kroz ICMP protokol. Rezultat je nepotpuna slika. S druge strane, blokiranje ICMP paketa govori napadaču o prisutnosti "prve linije odbrane" - rutera, firewall-a itd.
  2. Upotreba ICMP zahtjeva olakšava otkrivanje njihovog izvora, što, naravno, ne može biti zadatak napadača.

Postoji još jedna metoda za identifikaciju čvorova - korištenjem "mješovitog" načina mrežne kartice, koji vam omogućava da identificirate različite čvorove u mrežnom segmentu. Ali nije primjenjiv u slučajevima u kojima promet segmenta mreže nije dostupan napadaču sa svog čvora, tj. Ova metoda je primjenjiva samo na lokalnim mrežama. Drugi način za identifikaciju mrežnih čvorova je takozvano DNS rekognosciranje, koje vam omogućava da identifikujete korporativne mrežne čvorove kontaktiranjem servera usluge imena.

Identifikacija usluge ili skeniranje portova

Identifikacija usluga se obično vrši otkrivanjem otvorenih portova (port scanning). Takvi portovi su vrlo često povezani sa uslugama zasnovanim na TCP ili UDP protokolima. Na primjer:

  • otvoreni port 80 implicira prisustvo web servera,
  • Port 25 - SMTP mail server,
  • 31337th - serverski dio trojanskog konja BackOrifice,
  • 12345. ili 12346. - serverski dio NetBus trojanskog konja, itd.
Za identifikaciju usluga i skeniranje portova mogu se koristiti različiti programi, uklj. i slobodno distribuiran. Na primjer, nmap ili netcat.

Identifikacija operativnog sistema

Glavni mehanizam za daljinsko otkrivanje OS-a je analiza odgovora na zahtjeve, uzimajući u obzir različite implementacije TCP/IP steka u različitim operativnim sistemima. Svaki OS implementira stek TCP/IP protokola na svoj način, što omogućava određivanje koji je OS instaliran na udaljenom hostu koristeći posebne zahtjeve i odgovore na njih.

Drugi, manje efikasan i izuzetno ograničen, način da se identifikuju operativni sistemi domaćina je analiza mrežnih usluga otkrivenih u prethodnoj fazi. Na primjer, otvoreni port 139 nam omogućava da zaključimo da udaljeni host najvjerovatnije koristi Windows operativni sistem. Za određivanje operativnog sistema mogu se koristiti različiti programi. Na primjer, nmap ili queso.

Definiranje uloge čvora

Pretposljednji korak u fazi prikupljanja informacija o napadnutom hostu je određivanje njegove uloge, na primjer, obavljanje funkcija firewall-a ili web servera. Ovaj korak se izvodi na osnovu već prikupljenih informacija o aktivnim uslugama, imenima hostova, topologiji mreže itd. Na primjer, otvoreni port 80 može ukazivati ​​na prisustvo Web servera, blokiranje ICMP paketa ukazuje na potencijalno prisustvo zaštitnog zida, a ime DNS hosta proxy.domain.ru ili fw.domain.ru govori samo za sebe.

Utvrđivanje ranjivosti domaćina

Posljednji korak je potraga za ranjivostima. U ovom koraku, napadač, koristeći različita automatizirana sredstva ili ručno, identificira ranjivosti koje se mogu koristiti za izvođenje napada. ShadowSecurityScanner, nmap, Retina, itd. mogu se koristiti kao takvi automatizirani alati.

2. Implementacija napada

Od ovog trenutka počinje pokušaj pristupa napadnutom čvoru. U ovom slučaju pristup može biti ili direktan, tj. prodor u čvor, ili indirektno, na primjer, prilikom implementacije napada uskraćivanjem usluge. Implementacija napada u slučaju direktnog pristupa također se može podijeliti u dvije faze:

  • penetracija;
  • uspostavljanje kontrole.

Penetracija

Penetracija uključuje probijanje perimetarske odbrane (kao što je zaštitni zid). To se može realizovati na različite načine. Na primjer, iskorištavanje ranjivosti u kompjuterskoj usluzi koja gleda prema van ili prenošenjem neprijateljskog sadržaja putem e-pošte (makro virusi) ili putem Java apleta. Takav sadržaj može koristiti takozvane “tunele” u firewall-u (ne brkati se s VPN tunelima), kroz koje napadač tada prodire. Ova faza takođe uključuje odabir lozinke administratora ili drugog korisnika pomoću specijalizovanog uslužnog programa (na primjer, L0phtCrack ili Crack).

Uspostavljanje kontrole

Nakon penetracije, napadač uspostavlja kontrolu nad napadnutim čvorom. Ovo se može uraditi uvođenjem programa trojanskog konja (npr. NetBus ili BackOrifice). Nakon uspostavljanja kontrole nad željenim čvorom i prikrivanja njegovih tragova, napadač može daljinski izvršiti sve potrebne neovlaštene radnje bez znanja vlasnika napadnutog računara. U ovom slučaju, uspostavljanje kontrole nad čvorom korporativne mreže mora se održati čak i nakon ponovnog pokretanja operativnog sistema. Ovo se može učiniti zamjenom jedne od datoteka za pokretanje ili umetanjem veze do neprijateljskog koda u datoteke za pokretanje ili sistemski registar. Poznat je slučaj kada je napadač bio u mogućnosti da reprogramira EEPROM mrežne kartice, pa čak i nakon ponovne instalacije OS-a, mogao je ponovo implementirati neovlaštene radnje. Jednostavnija modifikacija ovog primjera je ugradnja potrebnog koda ili isječka u skriptu za pokretanje mreže (na primjer, za Novell Netware OS).

Ciljevi napada

Završna faza napada je „prikrivanje tragova“ na strani napadača. Ovo se obično postiže brisanjem odgovarajućih unosa iz dnevnika hosta i drugim radnjama koje vraćaju napadnuti sistem u prvobitno stanje "pre napada".

Klasifikacija napada

Postoje različite vrste klasifikacija napada. Na primjer, podjela na pasivne i aktivne, vanjske i unutrašnje, namjerne i nenamjerne. Međutim, kako vas ne bih zbunio sa širokim spektrom klasifikacija koje su od male koristi u praksi, predlažem klasifikaciju koja je više „nalik na život“:

  1. Prodor na daljinu. Napadi koji omogućavaju daljinsku kontrolu računara preko mreže. Na primjer, NetBus ili BackOrifice.
  2. Lokalni prodor. Napad koji rezultira neovlaštenim pristupom hostu na kojem je pokrenut. Na primjer, GetAdmin.
  3. Daljinsko uskraćivanje usluge. Napadi koji ometaju ili preopterećuju računar preko Interneta. Na primjer, Teardrop ili trin00.
  4. Lokalno uskraćivanje usluge. Napadi koji vam omogućavaju da poremetite ili preopteretite računar na kojem su implementirani. Primjer takvog napada je "neprijateljski" aplet koji učitava CPU u beskonačnu petlju, što onemogućuje obradu zahtjeva iz drugih aplikacija.
  5. Mrežni skeneri. Programi koji analiziraju topologiju mreže i otkrivaju servise koji mogu biti napadnuti. Na primjer, nmap sistem.
  6. Skeneri ranjivosti. Programi koji traže ranjivosti na mrežnim čvorovima i koji se mogu koristiti za izvođenje napada. Na primjer, SATAN sistem ili ShadowSecurityScanner.
  7. Krekeri lozinki. Programi koji "pogađaju" korisničke lozinke. Na primjer, L0phtCrack za Windows ili Crack za Unix.
  8. Analizatori protokola (njuškari). Programi koji "slušaju" mrežni saobraćaj. Koristeći ove programe, možete automatski tražiti informacije kao što su korisnički ID-ovi i lozinke, podaci o kreditnoj kartici itd. Na primjer, Microsoft Network Monitor, NetXRay kompanije Network Associates ili LanExplorer.

Internet Security Systems, Inc. dodatno smanjio broj mogućih kategorija, dovodeći ih na 5:

  1. Prikupljanje informacija.
  2. Pokušaji neovlaštenog pristupa.
  3. Uskraćivanje usluge.
  4. Sumnjiva aktivnost.
  5. Sistemski napadi.

Prve 4 kategorije odnose se na udaljene napade, a posljednja - na lokalne, implementirane na napadnuti čvor. Može se primijetiti da ova klasifikacija ne uključuje čitavu klasu takozvanih „pasivnih“ napada („prisluškivanje saobraćaja“, „lažni DNS server,“ „lažiranje ARP servera“ itd.).

Klasifikacija napada implementirana u mnogim sistemima za otkrivanje napada ne može biti kategorička. Na primjer, napad čija implementacija na Unix OS (na primjer, statd buffer overflow) može imati najstrašnije posljedice (najveći prioritet), na Windows NT OS možda uopće nije primjenjiv ili ima vrlo nizak stepen rizika. Osim toga, postoji zabuna u samim nazivima napada i ranjivosti. Isti napad može imati različita imena od različitih proizvođača sistema za otkrivanje napada.

Jedna od najboljih baza podataka o ranjivosti i napadima je baza podataka X-Force koja se nalazi na: http://xforce.iss.net/. Može se pristupiti ili pretplatom na besplatno distribuiranu X-Force Alert mailing listu ili interaktivnim pretraživanjem baze podataka na ISS Web serveru.

Zaključak

Bez ranjivosti u komponentama informacionog sistema, mnogi napadi ne bi bili mogući i stoga bi tradicionalni sigurnosni sistemi bili prilično efikasni u suočavanju sa mogućim napadima. Međutim, programe pišu ljudi koji su skloni greškama. Kao rezultat, pojavljuju se ranjivosti koje napadači koriste za izvođenje napada. Međutim, ovo je samo pola priče. Kada bi se svi napadi zasnivali na modelu jedan na jedan, onda bi to bilo malo nategnuto, ali bi vatrozidi i drugi sigurnosni sistemi također bili u stanju da ih izdrže. No, pojavili su se koordinirani napadi protiv kojih tradicionalna sredstva više nisu toliko učinkovita. I tu se na sceni pojavljuju nove tehnologije – tehnologije za otkrivanje napada. Navedena sistematizacija podataka o napadima i fazama njihove implementacije daje neophodnu osnovu za razumijevanje tehnologija otkrivanja napada.

Alati za otkrivanje kompjuterskih napada

Tehnologija otkrivanja upada mora riješiti sljedeće probleme:

  • Prepoznati poznate napade i upozoriti odgovarajuće osoblje na njih.
  • „Razumijevanje“ često nejasnih izvora informacija o napadima.
  • Oslobađanje ili smanjenje opterećenja bezbednosnog osoblja od rutinskog rutinskog praćenja korisnika, sistema i mreža koje su komponente korporativne mreže.
  • Sposobnost upravljanja sigurnosnim kontrolama od strane stručnjaka koji nisu za sigurnost.
  • Kontrola svih radnji subjekata korporativne mreže (korisnika, programa, procesa itd.).

Često sistemi za otkrivanje napada mogu obavljati funkcije koje značajno proširuju opseg njihove primjene. Na primjer,

  • Praćenje efikasnosti zaštitnih zidova. Na primjer, instaliranje sistema za otkrivanje napada nakon firewall(unutar korporativne mreže) vam omogućava da otkrijete napade koje je propustio zaštitni zid i na taj način odredite pravila koja nedostaju na zaštitnom zidu.
  • Nadgledanje mrežnih čvorova sa deinstaliranim ažuriranjima ili čvorova sa zastarjelim softverom.
  • Blokiranje i kontrola pristupa određenim internet stranicama. Iako su sistemi za otkrivanje napada daleko od firewall-a i sistema kontrole pristupa za različite URL-ove, na primjer, WEBsweeper, oni mogu vršiti djelomičnu kontrolu i blokirati pristup nekih korisnika korporativne mreže određenim Internet resursima, na primjer, web serverima sa pornografskim sadržajem. Ovo je neophodno kada organizacija nema novca za kupovinu i zaštitnog zida i sistema za otkrivanje napada, a funkcije zaštitnog zida su raspoređene između sistema za otkrivanje napada, rutera i proxy servera. Dodatno, sistemi za otkrivanje upada mogu pratiti pristup zaposlenika serverima na osnovu ključnih riječi. Na primjer, seks, posao, krek, itd.
  • Kontrola e-pošte. Sistemi za otkrivanje upada mogu se koristiti za praćenje nepouzdanih zaposlenika koji koriste e-poštu za obavljanje zadataka izvan svojih funkcionalnih odgovornosti, kao što je slanje životopisa. Neki sistemi mogu otkriti viruse u porukama e-pošte i, iako su daleko od pravih antivirusnih sistema, i dalje obavljaju ovaj zadatak prilično efikasno.

Najbolje korištenje vremena i iskustva stručnjaka za sigurnost informacija je otkrivanje i uklanjanje uzroka napada, a ne otkrivanje samih napada. Otklanjanjem uzroka napada, tj. Identificiranjem i eliminacijom ranjivosti administrator na taj način eliminira samu činjenicu potencijalnih napada. U suprotnom, napad će se ponavljati iznova i iznova, zahtijevajući stalno napore i pažnju administratora.

Klasifikacija sistema za otkrivanje napada

Postoji veliki broj različitih klasifikacija sistema za detekciju upada, ali najčešća je klasifikacija zasnovana na principu implementacije:

  1. baziran na hostu, odnosno otkrivanje napada usmjerenih na određeni mrežni čvor,
  2. mrežni, odnosno otkrivanje napada usmjerenih na cijelu mrežu ili segment mreže.

Sistemi za otkrivanje upada koji nadgledaju pojedinačni računar obično prikupljaju i analiziraju informacije iz dnevnika operativnog sistema i raznih aplikacija (Web server, DBMS, itd.). RealSecure OS Sensor radi na ovom principu. Međutim, nedavno su sistemi koji su čvrsto integrisani sa jezgrom OS-a postali široko rasprostranjeni, pružajući na taj način efikasniji način za otkrivanje kršenja bezbednosnih politika. Štaviše, takva integracija se može provesti na dva načina. Prvo, mogu se pratiti svi sistemski pozivi OS (ovako radi Entercept) ili sav dolazni/odlazni mrežni promet (ovako radi RealSecure Server Sensor). U potonjem slučaju, sistem za detekciju upada hvata sav mrežni promet direktno sa mrežne kartice, zaobilazeći operativni sistem, čime se smanjuje ovisnost o njemu i time povećava sigurnost sistema za otkrivanje upada.

Sistemi za otkrivanje napada na nivou mreže prikupljaju informacije iz same mreže, odnosno iz mrežnog saobraćaja. Ovi sistemi mogu raditi na običnim računarima (na primjer, RealSecure Network Sensor), na specijalizovanim računarima (na primjer, RealSecure za Nokia ili Cisco Secure IDS 4210 i 4230) ili integrirani u rutere ili prekidače (na primjer, CiscoSecure IOS Integrated Software ili Cisco Catalyst 6000 IDS modul). U prva dva slučaja, analizirane informacije se prikupljaju hvatanjem i analizom paketa koristeći mrežna sučelja u promiskuitetnom načinu. U potonjem slučaju, promet se hvata sa sabirnice mrežne opreme.

Detekcija napada zahteva ispunjenje jednog od dva uslova - ili razumevanje očekivanog ponašanja nadziranog sistemskog objekta ili poznavanje svih mogućih napada i njihovih modifikacija. Prvi slučaj koristi tehnologiju za otkrivanje anomalnog ponašanja, a drugi slučaj koristi tehnologiju za otkrivanje zlonamjernog ponašanja ili zloupotrebe. Druga tehnologija je opisati napad u obliku obrasca ili potpisa i tražiti ovaj obrazac u kontroliranom prostoru (na primjer, mrežni promet ili dnevnik). Ova tehnologija je vrlo slična detekciji virusa (antivirusni sistemi su vrhunski primjer sistema za otkrivanje napada), tj. sistem može otkriti sve poznate napade, ali je slabo opremljen da otkrije nove, još nepoznate napade. Pristup implementiran u ovakvim sistemima je vrlo jednostavan i na njemu se zasnivaju gotovo svi sistemi za otkrivanje napada koji se danas nude na tržištu.

Gotovo svi sistemi za otkrivanje napada zasnovani su na pristupu potpisa.

Prednosti sistema za detekciju upada

Mogli bismo u nedogled o raznim prednostima sistema za otkrivanje napada koji rade na nivou hosta i mreže. Međutim, fokusiraću se samo na neke od njih.

Prebacivanje omogućava upravljanje velikim mrežama kao više malih mrežnih segmenata. Kao rezultat toga, može biti teško odrediti najbolju lokaciju za instaliranje sistema koji otkriva napade u mrežnom prometu. Ponekad posebni portovi (span portovi) na prekidačima mogu pomoći, ali ne uvijek. Detekcija napada specifičnog za host omogućava efikasniji rad komutiranih mreža dozvoljavajući sistemima za otkrivanje da budu postavljeni samo na one hostove gdje su potrebni.

Sistemi mrežnog sloja ne zahtijevaju instaliranje softvera za otkrivanje upada na svakom hostu. Budući da je broj mjesta na kojima je instaliran IDS za nadgledanje cijele mreže mali, cijena njihovog rada u mreži preduzeća je niža od cijene rada sistema za otkrivanje napada na nivou sistema. Osim toga, za praćenje mrežnog segmenta potreban je samo jedan senzor, bez obzira na broj čvorova u datom segmentu.

Jednom kada mrežni paket napusti računar napadača, više se ne može vratiti. Sistemi koji rade na mrežnom sloju koriste promet uživo za otkrivanje napada u realnom vremenu. Dakle, napadač ne može ukloniti tragove svojih neovlaštenih aktivnosti. Analizirani podaci ne uključuju samo informacije o načinu napada, već i informacije koje mogu pomoći u identifikaciji napadača i dokazivanju na sudu. Budući da su mnogi hakeri upoznati sa mehanizmima sistemskog evidentiranja, oni znaju kako da manipulišu ovim datotekama kako bi sakrili tragove svojih aktivnosti, smanjujući efikasnost sistema na nivou sistema koji zahtijevaju ove informacije da bi otkrili napad.

Sistemi koji rade na nivou mreže otkrivaju sumnjive događaje i napade kako se dogode i stoga pružaju mnogo brže obavještenje i odgovor od sistema koji analiziraju dnevnike. Na primjer, haker koji pokreće TCP-bazirani mrežni napad uskraćivanja usluge može biti zaustavljen sistemom za otkrivanje upada na mrežnom sloju koji šalje TCP paket sa Reset zastavicom postavljenom u zaglavlju kako bi prekinuo vezu s hostom koji napada prije nego što napad uzrokuje uništenje ili uništenje napadnutog čvora. Sistemi za analizu dnevnika ne prepoznaju napade sve dok se ne napravi odgovarajući unos u dnevnik i preduzimaju kontraakciju nakon što je unos napravljen. Do ove tačke, najkritičniji sistemi ili resursi su možda već bili kompromitovani ili je sistem koji pokreće sistem za otkrivanje napada na nivou hosta možda poremećen. Obavještenje u realnom vremenu vam omogućava da brzo odgovorite prema unaprijed definiranim parametrima. Ove reakcije se kreću od omogućavanja infiltracije u načinu nadzora kako bi se prikupile informacije o napadu i napadaču, do momentalnog okončanja napada.

I konačno, sistemi za otkrivanje upada koji rade na nivou mreže su nezavisni od operativnih sistema instaliranih na korporativnoj mreži, budući da rade na mrežnom saobraćaju koji se razmenjuje između svih čvorova na korporativnoj mreži. Sistem za otkrivanje upada ne brine koji je OS generirao određeni paket, sve dok je u skladu sa standardima koje podržava sistem za detekciju. Na primjer, Windows 98, Windows NT, Windows 2000 i XP, Netware, Linux, MacOS, Solaris itd. mogu raditi na mreži, ali ako međusobno komuniciraju putem IP-a, onda bilo koji od sistema za otkrivanje napada koji podržavaju ovaj protokol će moći otkriti napade usmjerene na ove operativne sisteme.

Kombinovana upotreba sistema za otkrivanje napada na nivou mreže i na nivou hosta poboljšaće bezbednost vaše mreže.

Sistemi za otkrivanje mrežnih napada i zaštitni zidovi

Najčešće se pokušavaju zamijeniti sistemi za otkrivanje mrežnih napada firewall-ima, oslanjajući se na činjenicu da potonji pružaju vrlo visok nivo sigurnosti. Međutim, imajte na umu da su zaštitni zidovi jednostavno sistemi zasnovani na pravilima koji dozvoljavaju ili odbijaju promet kroz njih. Čak ni zaštitni zidovi izgrađeni pomoću "" tehnologije ne dozvoljavaju da se sa sigurnošću kaže da li je napad prisutan u prometu koji oni kontroliraju ili ne. Oni mogu reći da li se promet podudara s pravilom ili ne. Na primjer, zaštitni zid je konfiguriran da blokira sve veze osim TCP veza na portu 80 (tj. HTTP saobraćaj). Dakle, svaki saobraćaj kroz port 80 je legalan sa stanovišta ITU-a. S druge strane, sistem za otkrivanje upada također prati promet, ali u njemu traži znakove napada. Nije bitno za koju luku je saobraćaj namenjen. Podrazumevano, sav saobraćaj je sumnjiv za sistem za otkrivanje upada. Odnosno, uprkos činjenici da sistem za detekciju upada radi sa istim izvorom podataka kao i firewall, odnosno sa mrežnim saobraćajem, oni obavljaju komplementarne funkcije. Na primjer, HTTP zahtjev "GET /../../../etc/passwd HTTP/1.0". Gotovo svaki ITU dozvoljava da ovaj zahtjev prođe kroz sebe. Međutim, sistem za otkrivanje napada će lako otkriti ovaj napad i blokirati ga.

Možemo povući sljedeću analogiju. Vatrozid je obična okretnica instalirana na glavnom ulazu u vašu mrežu. Ali pored glavnih vrata, tu su i druga vrata, kao i prozori. Maskiranjem u pravog zaposlenika ili zadobivanjem povjerenja stražara na okretnici, napadač može pronijeti eksplozivnu napravu ili pištolj kroz okretnicu. Malo od. Uljez se može popeti na vaš prozor. Zato su nam potrebni sistemi za otkrivanje napada koji poboljšavaju zaštitu koju pružaju zaštitni zidovi, koji su, iako neophodan, ali očigledno nedovoljan element mrežne sigurnosti.

Firewall- nije panaceja!

Opcije za odgovor na otkriveni napad

Nije dovoljno otkriti napad, potrebno je na njega odgovoriti. Opcije odgovora u velikoj meri određuju efikasnost sistema za otkrivanje napada. Trenutno su ponuđene sljedeće opcije odgovora:

  • Obavijest konzoli (uključujući sigurnosnu kopiju) sistema za otkrivanje upada ili konzoli integriranog sistema (na primjer, firewall).
  • Zvučno obavještenje o napadu.
  • Generisanje SNMP kontrolnih sekvenci za sisteme upravljanja mrežom.
  • Generisanje izvještaja o napadu putem e-pošte.
  • Dodatne obavijesti putem pejdžera ili faksa. Vrlo zanimljiva, iako rijetko korištena prilika. Upozorenje o otkrivanju neovlaštene aktivnosti šalje se ne administratoru, već napadaču. Prema riječima pristalica ove opcije odgovora, prekršilac je, nakon saznanja da je otkriven, primoran da prekine sa svojim postupcima.
  • Obavezna registracija otkrivenih događaja. Sljedeće može poslužiti kao dnevnik:
    • tekstualni fajl,
    • syslog (na primjer, u Cisco Secure Integrated Software sistemu),
    • tekstualnu datoteku posebnog formata (na primjer, u sistemu Snort),
    • lokalna MS Access baza podataka,
    • SQL baza podataka (na primjer, u sistemu RealSecure).
    Samo treba uzeti u obzir da je za količinu snimljenih informacija obično potrebna SQL baza podataka - MS SQL ili Oracle.
  • Trag događaja, tj. snimajući ih redoslijedom i brzinom kojom ih je napadač implementirao. Zatim, u bilo kojem trenutku, administrator može ponoviti (reproducirati ili reproducirati) potrebnu sekvencu događaja određenom brzinom (u realnom vremenu, uz ubrzanje ili usporavanje) kako bi analizirao aktivnost napadača. To će vam omogućiti da shvatite njegove kvalifikacije, korištena sredstva napada itd.
  • Prekidanje napadačevih radnji, tj. prekidanje veze. Ovo se može uraditi na sljedeći način:
    • presretanje veze (otmica sesije) i slanje paketa sa postavljenom RST zastavicom oba učesnika u mrežnoj vezi u ime svakog od njih (u sistemu za otkrivanje napada koji radi na nivou mreže);
    • blokiranje korisničkog naloga koji izvodi napad (u sistemu za otkrivanje napada na nivou hosta). Takvo blokiranje se može vršiti ili na određeni vremenski period, ili dok administrator ne otključa račun. U zavisnosti od privilegija sa kojima sistem za otkrivanje napada radi, blokiranje može da funkcioniše kako unutar samog računara, koji je cilj napada, tako i unutar čitavog mrežnog domena.
  • Rekonfiguracija mrežne opreme ili firewall-a. Ako se otkrije napad, ruteru ili zaštitnom zidu se šalje komanda za promjenu liste kontrole pristupa. Nakon toga, svi pokušaji povezivanja od napadačkog čvora će biti odbijeni. Poput blokiranja naloga napadača, promjena liste kontrole pristupa može se izvršiti ili u određenom vremenskom periodu ili dok promjenu ne otkaže administrator rekonfigurabilne mrežne opreme.
  • Blokiranje mrežnog saobraćaja na isti način kao što je implementirano u zaštitnim zidovima. Ova opcija vam omogućava da ograničite promet, kao i primaoce koji mogu pristupiti resursima zaštićenog računara, omogućavajući vam da obavljate funkcije dostupne u ličnim zaštitnim zidovima.

1. Presretanje paketa.

Sniffer paketa (od engleskog sniff - njuškanje) je aplikativni program koji koristi mrežni interfejs koji radi u promiskuitetnom režimu. U ovom režimu, mrežni adapter vam omogućava da primite sve pakete primljene preko fizičkih kanala, bez obzira na to kome su adresirani, i šalje ih aplikaciji na obradu. Trenutno se snifferi koriste u mrežama na potpuno legalnoj osnovi. Koriste se za dijagnostiku kvarova i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3, itd.), korištenje sniffera može otkriti korisne i ponekad osjetljive informacije (na primjer, korisnička imena i lozinke) .

Presretanje prijava i lozinki stvara veliku opasnost. Ako aplikacija radi u klijent-server modu, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač će dobiti pristup korisničkom resursu na nivou sistema i koristiti ga za kreiranje novog korisnika koji se može koristiti u bilo kojem trenutku za pristup mreži i njenim resursima.

2. IP lažiranje.

IP lažiranje (od engleskog spoof - hoax) nastaje kada se napadač, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može postići na dva načina:

a) korištenje IP adrese koja je unutar opsega ovlaštenih IP adresa;

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad, koji počinje sa tuđe adrese, skrivajući pravi identitet napadača.

Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između klijentske i serverske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja. Za dvosmjernu komunikaciju, napadač mora modificirati sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu.

Ako je napadač uspio promijeniti tablice rutiranja i usmjeriti mrežni promet na lažnu IP adresu, tada će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

3. Uskraćivanje usluge.

Uskraćivanje usluge (Denial of Service, skraćeno DoS) je bez sumnje najpoznatiji oblik mrežnog napada. Osim toga, od ovih vrsta napada najteže je stvoriti 100% zaštitu. Za organizaciju DoS-a potreban je minimum znanja i vještina. Ipak, jednostavnost implementacije i ogromna razmjera štete privlače napadače na DoS napade.

Ovaj napad se značajno razlikuje od drugih vrsta napada. Napadači nemaju namjeru da dobiju pristup mreži ili dobiju bilo kakve informacije iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem dozvoljenih ograničenja mreže, operativnog sistema ili aplikacije. U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo zadržavanje zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene Internet protokole kao što su TCP i ICMP.

Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa. Kada se napad ovog tipa izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (od engleskog distributed DoS, skraćeno DDoS).

4. Napadi lozinkom.

Napadači mogu provoditi napade lozinkom koristeći različite metode, kao što su napad grube sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Unatoč činjenici da se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, napadači često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva jednostavno nabrajanje.

Za takav napad koristi se poseban program koji pokušava dobiti pristup javnom resursu (na primjer, serveru). Ako se, kao rezultat toga, napadaču odobri pristup resursima, on ga prima kao korisnik čija je lozinka odabrana. Ako određeni korisnik ima značajne privilegije pristupa, napadač može kreirati gateway za budući pristup koji će ostati na snazi ​​čak i ako korisnik promijeni svoju lozinku.

5. Napadi čovjeka u sredini.

Za napad Man-in-the-Middle, napadaču je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja. Napadi se sprovode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i pribavljanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, izobličenja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

6. Napadi na nivou aplikacije.

Napadi na nivou aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti serverskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računaru u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegovani administrator sa pravima pristupa sistemu). Informacije o napadima na nivou aplikacije se široko objavljuju kako bi se administratorima pružila prilika da isprave problem koristeći korektivne module (zakrpe). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.

Glavni problem sa napadima na nivou aplikacije je taj što napadači često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, napadač koji koristi poznatu slabost web servera će često koristiti port 80 u TCP napadu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

7. Mrežna inteligencija.

Mrežna inteligencija se odnosi na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, napadač obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje se vrši u obliku DNS upita, pingova i skeniranja portova. DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje adrese su dodijeljene toj domeni. Ping adresa koje otkriva DNS omogućava vam da vidite koji se hostovi zapravo pokreću u datom okruženju. Nakon što primi listu hostova, napadač koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.

8. Kršenje povjerenja.

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zloupotrebe je situacija u perifernom dijelu korporativne mreže. Ovaj segment često sadrži DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, hakovanje bilo kojeg od njih dovodi do hakovanja svih ostalih, jer ovi serveri vjeruju drugim sistemima na svojoj mreži. Drugi primjer je sistem instaliran na vanjskoj strani zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim na unutrašnjoj strani zaštitnog zida. Ako je vanjski sistem kompromitovan, napadač može koristiti odnose povjerenja da prodre u sistem zaštićen zaštitnim zidom.

9. Prosljeđivanje porta.

Prosljeđivanje portova je oblik zloupotrebe povjerenja u kojem se kompromitovani host koristi za propuštanje saobraćaja kroz zaštitni zid koji bi inače bio odbijen. Zamislimo zaštitni zid sa tri interfejsa, od kojih je svaki povezan sa određenim hostom. Eksterni host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutarnjoj strani zaštitnog zida. Dijeljeni host se može povezati i na interni i na eksterni host. Ako napadač preuzme zajednički host, može na njega instalirati softver koji preusmerava saobraćaj sa eksternog hosta direktno na interni. Iako ovo ne krši nijedno pravilo na ekranu, vanjski host dobiva direktan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti takav pristup je netcat.

10. Neovlašteni pristup.

Neovlašteni pristup se ne može identificirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobijanja neovlaštenog pristupa. Da bi pogodio Telnet login, napadač mora prvo dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka “potrebna je autorizacija za korištenje ovog resursa”. Ako napadač nastavi pokušavati pristupiti nakon ovoga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

11. Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika su vrlo ranjive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubacuju u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji je upisan u datoteku command.com (glavni tumač Windows sistema) i briše druge datoteke, a također inficira sve ostale verzije command.com koje pronađe.

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvari igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra na radnoj stanici korisnika. Međutim, dok korisnik igra igru, program šalje kopiju sebe putem e-pošte svakom pretplatniku u adresaru tog korisnika. Svi pretplatnici dobijaju igru ​​poštom, što uzrokuje njenu dalju distribuciju.

Klasa mrežnih napada uključuje napade koji uzrokuju sumnjivo, anomalno ponašanje mrežnog prometa na korporativnoj mreži. To su takozvane mrežne anomalije. Mrežne anomalije se također mogu klasificirati. Mogu se podijeliti u dvije glavne grupe: hardverska i softverska odstupanja i sigurnosni problemi (slika 1.2.1.)

1. Softverska i hardverska odstupanja.

Greške u softveru komponenti informacionog sistema mogu dovesti do prelaska u nenormalan režim sa naknadnim prekidom pružanja usluga.

Greške u konfiguraciji prevode funkcionalnost komponenti informacionog sistema u neusklađenost sa standardnim projektnim parametrima, što narušava ukupne performanse.

Povrede performansi podrazumevaju odstupanje parametara informacionog sistema izvan obračunskih vrednosti, što je praćeno kršenjem pružanja usluga.

Kvarovi hardvera mogu dovesti kako do potpunog kvara pojedinih komponenti informacionog sistema, tako i do degradirajućeg uticaja posebnog podsistema na čitav kompleks.

2. Kršenja sigurnosti.

Mrežno skeniranje se vrši radi analize topologije mreže i otkrivanja usluga dostupnih za napad. Tokom procesa skeniranja, pokušava se povezati na mrežne usluge pristupanjem određenom portu. U slučaju otvorenog skeniranja, skener izvodi trosmjernu proceduru rukovanja, au slučaju zatvorenog (stealth) skeniranja ne dovršava vezu. Budući da prilikom skeniranja jednog hosta dolazi do nabrajanja usluga (portova), ovu anomaliju karakteriziraju pokušaji pristupa sa jedne IP adrese skenera određenoj IP adresi na više portova. Međutim, najčešće se skeniraju čitave podmreže, što se izražava u prisustvu u napadnutoj mreži velikog broja paketa od jedne IP adrese skenera do više IP adresa podmreže koja se ispituje, ponekad čak i metodom sekvencijalne pretrage. Najpoznatiji mrežni skeneri su: nmap, ISS, satan, strobe, xscan i drugi.

Analizatori saobraćaja ili snifferi dizajnirani su za presretanje i analizu mrežnog prometa. U najjednostavnijem slučaju, to uključuje prebacivanje mrežnog adaptera hardverskog kompleksa u režim slušanja i tokovi podataka u segmentu na koji je povezan postaju dostupni za dalje proučavanje. Budući da mnogi aplikativni programi koriste protokole koji prenose informacije u jasnom, nešifrovanom obliku, rad njuškača dramatično smanjuje nivo sigurnosti. Imajte na umu da njuškari ne uzrokuju izražene anomalije u radu mreže. Najpoznatiji snifferi su: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

U računarskoj bezbednosti, termin ranjivost se koristi za označavanje komponente informacionog sistema koja je slabo zaštićena od neovlašćenog uticaja. Ranjivost može biti rezultat grešaka u dizajnu, programiranju ili konfiguraciji. Ranjivost može postojati samo teoretski ili imati eksploatatorsku softversku implementaciju - eksploataciju. Sa aspekta mreže, informacioni resursi, kao što su operativni sistemi i servisni softver, mogu biti ranjivi na ranjivosti.

Aktivnost virusne mreže rezultat je pokušaja širenja kompjuterskih virusa i crva korištenjem mrežnih resursa. Najčešće, kompjuterski virus iskorištava jednu ranjivost u servisu mrežnih aplikacija, pa se virusni promet karakterizira prisustvom velikog broja poziva s jedne zaražene IP adrese na više IP adresa na određenom portu koji odgovara potencijalno ranjivoj usluzi.

mob_info