Udaljeni mrežni napad je informacijski destruktivan uticaj na distribuirani računarski sistem (DCS), koji se izvodi putem komunikacionih kanala.

Zbog činjenice da je daljinski napad prilično teško otkriti, a relativno jednostavan za izvođenje (zbog redundantne funkcionalnosti modernih sistema), ova vrsta nezakonitih radnji je na prvom mjestu po stepenu opasnosti. Ovisno o prirodi njihovog utjecaja, napadi mogu biti pasivni ili aktivni. U prve spadaju one koje ne utiču direktno na rad RVS-a, ali su u stanju da naruše njegovu bezbednosnu politiku. Upravo zbog nepostojanja direktnog uticaja na sistem ovakav napad je teško detektovati. Aktivan uticaj na RVS je onaj koji ima direktan uticaj na rad sistema, remeti njegove performanse, menja konfiguraciju itd. Kod aktivnog tipa napada dolazi do nekih promjena u sistemu, dok kod pasivnog napada ne ostaju vidljivi tragovi.

U svakom napadu, glavni cilj je obično stjecanje neovlaštenog pristupa informacijama. Postoje dvije vrste primanja informacija: presretanje i izobličenje. Prilikom presretanja dolazi do informacija bez mogućnosti promjene. Iskrivljavanje ili zamjena podataka dovodi do narušavanja njihovog integriteta. Tako se, prema svrsi uticaja, mrežni napadi mogu podeliti na one koji narušavaju funkcionisanje sistema, integritet informacionih resursa ili njihovu poverljivost.

Informacijske i mrežne tehnologije se razvijaju i mijenjaju tako brzo da statički sigurnosni mehanizmi, kao što su kontrola pristupa i sistemi autentifikacije, ne mogu pružiti efikasnu zaštitu u mnogim slučajevima. Ono što je potrebno jesu dinamičke metode koje omogućavaju brzo otkrivanje i sprečavanje kršenja sigurnosti. Jedan takav sistem koji može otkriti kršenja koja nisu identificirana tradicionalnim modelima kontrole pristupa je tehnologija otkrivanja upada.

Detekcija napada je proces prepoznavanja i reagovanja na sumnjive aktivnosti koje ciljaju mrežu ili računarske resurse. Učinkovitost tehnologije u velikoj mjeri ovisi o tome koje metode analize primljenih informacija se koriste. Trenutno se, uz statističku metodu, koristi niz novih tehnika, kao što su ekspertni sistemi i neuronske mreže. Pogledajmo svaku metodu posebno.

Statistička analiza. Ovaj pristup ima dvije glavne prednosti: korištenje dokazanog aparata matematičke statistike i prilagođavanje ponašanju subjekta. Na samom početku upotrebe ove metode određuju se profili za svaki subjekt analiziranog sistema. Svako odstupanje korišćenog profila od standarda smatra se neovlašćenom radnjom. Statističke metode su univerzalne jer ne zahtijevaju znanje o mogućim napadima i ranjivostima sistema. Međutim, prilikom njihovog korištenja mogu se pojaviti određene poteškoće, povezane, na primjer, s činjenicom da se mogu "obučiti" da neovlaštene radnje percipiraju kao normalne. Stoga se uz statističku analizu koriste i dodatne tehnike.

Ekspertni sistemi. Ova metoda otkrivanja napada je prilično česta. Kada se koristi, informacije o napadima se formulišu u obliku pravila, koja se često zapisuju u obliku niza radnji ili u obliku potpisa.

Ako je bilo koje od ovih pravila ispunjeno, odmah se donosi odluka o prisutnosti neovlaštene aktivnosti. Jedna od glavnih prednosti ove metode je gotovo potpuno odsustvo lažnih alarma. Kako bi ekspertni sistemi uvijek bili ažurni, potrebno je stalno ažurirati baze podataka koje se koriste. Nedostatak ove metode je nemogućnost odbijanja nepoznatih napada. Čak i ako je napad baze podataka malo izmijenjen, to može postati ozbiljna prepreka njegovom otkrivanju.

Neuralne mreže. Zbog činjenice da je svakim danom sve više hakera i opcija napada, stručni sistemi, čak i uz stalno ažuriranje baze podataka, ne mogu garantovati tačnu identifikaciju svakog mogućeg upada. Neuronske mreže se koriste kao jedan od načina za prevazilaženje ovog problema. Neuronska mreža analizira informacije i pruža mogućnost procjene koliko su podaci u skladu sa karakteristikama koje prepoznaje. Da bi se to postiglo, neuronska mreža je osposobljena za preciznu identifikaciju koristeći odabrani uzorak primjera iz predmetne oblasti. Analizira se odgovor neuronske mreže, nakon čega se sistem prilagođava na način da se postignu zadovoljavajući rezultati. Kako neuronska mreža analizira podatke, stiče dodatno iskustvo.

Jedna od važnih prednosti neuronskih mreža je njihova sposobnost da uzmu u obzir karakteristike napada, identifikujući elemente koji nisu slični naučenim.

Zbog činjenice da ove metode otkrivanja napada imaju svoje nedostatke, obično se koriste zajedno kako bi se pružila pouzdanija zaštita.

Da biste osigurali sigurnost vašeg računara, morate znati koji mrežni napadi mogu da ga ugroze. Sve poznate prijetnje mogu se podijeliti u tri grupe:

Skeniranje portova– ove prijetnje same po sebi nisu napad, već mu po pravilu prethode, jer je to jedan od načina za dobijanje informacija o udaljenom računaru. Suština ove metode je skeniranje UDP/TCP portova koje koriste mrežni servisi na željenom računaru kako bi se utvrdio njihov status. Ovaj proces pomaže da se shvati koji napadi na dati sistem mogu biti uspješni, a koji ne. Štaviše, skeniranje pruža napadaču potrebne informacije o operativnom sistemu, što mu omogućava da odabere još prikladnije vrste napada.

DOS-napadi– poznati su i kao „uskraćivanje usluge“. To su napadi koji dovode do toga da napadnuti sistem postane nestabilan ili potpuno neoperabilan. Njihove posljedice mogu uključivati ​​oštećenje ili uništenje informacijskih resursa i nemogućnost njihovog korištenja.

Postoje dvije vrste DOS napada. :

— posebno kreirani paketi se šalju računaru žrtve, što dovodi do ponovnog pokretanja ili gašenja sistema

— veliki broj paketa se šalje računaru žrtve u jedinici vremena, on ne može da se nosi sa njihovom obradom. Posljedica je iscrpljenost sistemskih resursa.

Napadi invazije. Njihov cilj je da “preuzmu” sistem. Ova vrsta napada je najopasnija, jer ako se uspješno izvedu, napadač dobija najpotpunije informacije o sistemu. i pristup kreditnim karticama. Takođe, svrha takvih napada može biti da se dobije pristup sistemu kako bi se njegovi računarski resursi kasnije koristili u svrhe napadača. Ova grupa uključuje najveći broj napada.

Češći tipovi napada koji koriste mrežne usluge operativnog sistema:

— Napadi prekoračenja bafera. Ovo je vrsta softverske ranjivosti koja se javlja zbog odsustva ili nedovoljnih mjera kontrole pri radu sa skupovima podataka.

— Napadi zasnovani na greškama niza formata. Ovaj tip se javlja zbog nedovoljnog stupnja kontrole nad vrijednostima ulaznih parametara formata I/O funkcija. Ako je takva ranjivost u softveru, napadač može steći apsolutnu kontrolu nad sistemom.

Da biste zaštitili svoj lični računar (PC) od mrežnih napada, potrebno je da instalirate visokokvalitetni antivirus, kao i zaštitni program koji se zove FireWall. Ovaj program prati sve što ide i dolazi kroz mrežu, štiti vaš računar od hakovanja i mrežnih napada, a takođe sprečava prenos ličnih podataka. FireWall rješava problem skeniranja portova, koji je gore spomenut: softver čini računar nevidljivim na mreži, zatvarajući sve portove. Osim toga, ovaj program ne dozvoljava ulazak ličnih podataka u mrežu čak i ako je sistem zaražen trojanskim virusima (čija je svrha upravo krađa povjerljivih informacija). Čak i ako mislite da na vašem računaru nema ništa što bi kriminalcu moglo zatrebati, ipak ne biste trebali zanemariti instaliranje gore navedenog softvera, jer vaš računar nakon napada haker može koristiti za napade ili hakovanje drugih mašina .

Prijetnje koje se provode preko mreže klasificirane su prema sljedećim glavnim karakteristikama:

1. prirodu pretnje.

   Pasivna - prijetnja koja ne utiče na rad informacionog sistema, ali može narušiti pravila pristupa zaštićenim informacijama. Primjer: korištenje njuškala za "slušanje" mreže. Aktivan – pretnja koja utiče na komponente informacionog sistema, čija implementacija ima direktan uticaj na rad sistema. Primjer: DDOS napad u obliku oluje TCP zahtjeva.

2. cilj pretnje(odnosno, povjerljivost, dostupnost, integritet informacija).
3. stanje početka napada:
   • na zahtjev napadnutih. Odnosno, napadač očekuje prijenos zahtjeva određene vrste, što će biti uslov za početak napada.
   • po nastanku očekivanog događaja na napadnutom objektu.
   • bezuslovni uticaj - napadač ne čeka ništa, odnosno prijetnja se implementira odmah i bez obzira na stanje napadnutog objekta.
4. dostupnost povratnih informacija sa napadnutim objektom:
   • uz povratnu informaciju, odnosno napadač treba da dobije odgovor na neke zahtjeve. Dakle, postoji povratna sprega između mete i napadača, omogućavajući napadaču da prati stanje napadnutog objekta i adekvatno odgovori na njegove promjene.
   • bez povratne informacije - prema tome, nema povratne informacije i nema potrebe da napadač reaguje na promjene u napadnutom objektu.
5. lokacija uljeza u odnosu na napadnuti informacioni sistem: intra-segment i inter-segment. Mrežni segment je fizička asocijacija domaćina, hardvera i drugih mrežnih komponenti koje imaju mrežnu adresu. Na primjer, jedan segment čine kompjuteri povezani na zajedničku magistralu zasnovanu na Token Ringu.
6. ISO/OSI sloj referentnog modela na kojem se prijetnja implementira: fizički, kanal, mreža, transport, sesija, predstavnik, aplikacija.

Pogledajmo trenutno najčešće napade na mreže zasnovane na stek protokola TCP/IP.

1. Analiza mrežnog saobraćaja. Ovaj napad se provodi pomoću posebnog programa koji se zove sniffer. Sniffer je aplikativni program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada, takozvanom "promiskuitetnom" načinu u kojem mrežna kartica omogućava prihvaćanje svih paketa, bez obzira na to kome su upućeni. U normalnom stanju, filtriranje paketa sloja veze se koristi na Ethernet sučelju i ako MAC adresa u odredišnom zaglavlju primljenog paketa ne odgovara MAC adresi trenutnog mrežni interfejs i nije emitiranje, paket se odbacuje. U "promiskuitetnom" načinu, filtriranje po mrežni interfejs je onemogućen i svi paketi, uključujući i one koji nisu namijenjeni trenutnom čvoru, su dozvoljeni u sistem. Treba napomenuti da se mnogi takvi programi koriste u pravne svrhe, na primjer, za dijagnosticiranje kvarova ili analizu prometa. Međutim, tabela koju smo pregledali iznad navodi protokole koji šalju informacije, uključujući lozinke, u čistom tekstu - FTP, SMTP, POP3, itd. Tako pomoću njuškala možete presresti svoje korisničko ime i lozinku i dobiti neovlašteni pristup povjerljivim informacijama. Štaviše, mnogi korisnici koriste iste lozinke za pristup mnogim online uslugama. Odnosno, ako postoji slabost na jednom mjestu u mreži u vidu slabe autentifikacije, cijela mreža može patiti. Napadači su svjesni ljudskih slabosti i naširoko koriste metode socijalnog inženjeringa.

   Zaštita od ove vrste napada može uključivati ​​sljedeće:

   • Jaka autentifikacija npr. korištenjem jednokratne lozinke(jednokratna lozinka). Ideja je da se lozinka može koristiti jednom, pa čak i ako je napadač presretne pomoću njuškala, ona nema vrijednost. Naravno, ovaj zaštitni mehanizam štiti samo od presretanja lozinki, a beskorisan je u slučaju presretanja drugih informacija, na primjer, e-pošte.
   • Anti-sniffers su hardver ili softver koji može otkriti rad njuškala u segmentu mreže. U pravilu provjeravaju opterećenje na mrežnim čvorovima kako bi utvrdili "višak" opterećenja.
   • Komutirana infrastruktura. Jasno je da je analiza mrežnog saobraćaja moguća samo unutar jednog segmenta mreže. Ako je mreža izgrađena na uređajima koji je dijele na više segmenata (prekidači i ruteri), tada je napad moguć samo u onim dijelovima mreže koji pripadaju jednom od portova tih uređaja. Ovo ne rješava problem njuškanja, ali smanjuje granice koje napadač može "slušati".
   • Kriptografske metode. Najpouzdaniji način da se nosite sa radom njuškala. Informacije koje se mogu dobiti presretnutim su šifrirane i stoga nemaju koristi. Najčešće korišteni su IPSec, SSL i SSH.
2. Mrežno skeniranje.Svrha mrežnog skeniranja je da se identifikuju servisi koji rade na mreži, otvoreni portovi, aktivni mrežne usluge, korišteni protokoli itd., odnosno prikupljanje informacija o mreži. Najčešće korištene metode za mrežno skeniranje su:
   • DNS upiti pomažu napadaču da sazna vlasnika domene, područje adrese,
   • ping testiranje – identifikuje radne hostove na osnovu prethodno dobijenih DNS adresa;
   • skeniranje portova - sastavlja se kompletna lista usluga koje podržavaju ovi hostovi, otvoreni portovi, aplikacije itd.

   Dobra i najčešća protumjera je korištenje IDS-a, koji uspješno pronalazi znakove skeniranja mreže i o tome obavještava administratora. Nemoguće je potpuno se riješiti ove prijetnje, jer ako, na primjer, onemogućite ICMP echo i echo reply na svom ruteru, možete se riješiti ping prijetnje, ali u isto vrijeme izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži .

3. Password Reveal.Glavni cilj ovog napada je sticanje neovlaštenog pristupa zaštićenim resursima prevazilaženjem zaštite lozinkom. Za dobijanje lozinke napadač može koristiti više metoda - običnu silu, grubu silu iz rječnika, njuškanje, itd. Najčešća je jednostavna brute force pretraga svih mogućih vrijednosti lozinke. Za zaštitu od jednostavne grube sile potrebno je koristiti jake lozinke koje nije lako pogoditi: dugačke 6-8 znakova, koristiti velika i mala slova, koristiti posebne znakove (@, #, $, itd.).

   Drugi problem informacijske sigurnosti je taj što većina ljudi koristi iste lozinke za sve usluge, aplikacije, stranice itd. Štoviše, ranjivost lozinke ovisi o najslabijem području njene upotrebe.

   Ove vrste napada mogu se izbjeći korištenjem jednokratnih lozinki, o kojima smo ranije govorili, ili kriptografskom autentifikacijom.

4. IP lažiranje ili zamjena pouzdanog mrežnog objekta.Pouzdano u ovom slučaju znači mrežni objekat (računar, ruter, zaštitni zid, itd.) legalno povezan sa serverom. Prijetnja se sastoji od napadača koji se oponaša kao pouzdani mrežni objekt. To se može uraditi na dva načina. Prvo, koristite IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima. Ova vrsta napada često je početna tačka za druge napade.

   Obično je lažiranje pouzdanog mrežnog entiteta ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između mrežnih entiteta. Za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu, što je također moguće. Da biste ublažili prijetnju (ali ne i eliminirali), možete koristiti sljedeće:

   • kontrola pristupa. Možete konfigurirati kontrolu pristupa da odbije svaki promet koji dolazi iz vanjske mreže s izvornom adresom unutar mreže. Ova metoda je učinkovita ako su ovlaštene samo interne adrese i ne radi ako postoje ovlaštene eksterne adrese.
   • RFC 2827 filtriranje – ovaj tip filtriranja vam omogućava da zaustavite pokušaje korisnika vaše mreže da lažiraju druge mreže. Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije. Često ovu vrstu filtriranja obavlja provajder. Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primer, ako ISP obezbedi vezu na IP adresu 15.1.1.0/24, može da konfiguriše filter tako da je dozvoljen samo saobraćaj koji potiče od 15.1.1.0/24 sa tog interfejsa na ruter ISP-a. Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova učinkovitost će biti mnogo niža od moguće.
   • Implementacija dodatnih metoda autentifikacije. IP lažiranje je moguće samo uz IP baziranu autentifikaciju. Ako uvedete neke dodatne mjere autentifikacije, na primjer, kriptografske, napad postaje beskoristan.
5. Uskraćivanje usluge (DoS)- napad na računarski sistem sa ciljem njegovog dovođenja do kvara, odnosno stvaranja uslova pod kojima legitimni korisnici sistema ne mogu pristupiti resursima koje sistem obezbeđuje ili je taj pristup otežan.

   DoS napad je najčešći i najpoznatiji napad u posljednje vrijeme, prvenstveno zbog lakoće implementacije. Organizovanje DOS napada zahteva minimum znanja i veština i zasniva se na nedostacima mrežnog softvera i mrežnih protokola. Ako se napad izvodi na mnogo mrežnih uređaja, naziva se distribuirani DoS napad (DDoS).

   Danas se najčešće koriste sljedećih pet vrsta DoS napada, za koje postoji velika količina softvera i od kojih se najteže zaštititi:

   • Štrumpf- ICMP ping zahtjevi. Kada se ping paket (ICMP ECHO poruka) pošalje na adresu emitiranja (na primjer, 10.255.255.255), isporučuje se na svaku mašinu u toj mreži. Princip napada je da se pošalje ICMP ECHO REQUEST paket sa izvornom adresom napadnutog hosta. Napadač šalje konstantan tok ping paketa na adresu mrežnog emitiranja. Sve mašine, po prijemu zahteva, odgovaraju izvoru sa ICMP ECHO REPLY paketom. Shodno tome, veličina protoka paketa odgovora se povećava proporcionalno broju hostova nekoliko puta. Kao rezultat toga, cijela mreža je podložna uskraćivanju usluge zbog zagušenja.
   • ICMP poplava- napad sličan Štrumpfu, ali bez pojačanja koje stvaraju zahtjevi na usmjerenu adresu emitiranja.
   • UDP poplava- slanje više UDP (User Datagram Protocol) paketa na adresu napadnutog čvora.
   • TCP poplava- slanje više TCP paketa na adresu napadnutog čvora.
   • TCP SYN poplava- prilikom izvođenja ove vrste napada izdaje se veliki broj zahtjeva za inicijalizaciju TCP veza sa napadnutim čvorom, koji kao rezultat mora potrošiti sve svoje resurse na praćenje ovih djelimično otvorenih veza.

   Ako koristite web ili FTP serversku aplikaciju, DoS napad uzrokuje da sve veze koje su dostupne tim aplikacijama budu zauzete i korisnici im ne mogu pristupiti. Neki napadi mogu srušiti cijelu mrežu tako što će je preplaviti nepotrebnim paketima. Za suzbijanje ovakvih napada neophodna je uključenost provajdera, jer ako ne zaustavi neželjeni promet na ulazu u mrežu, napad neće biti zaustavljen jer će propusni opseg biti zauzet.

   Za implementaciju DoS napada najčešće se koriste sljedeći programi:

   • Trinoo- je prilično primitivan program, koji je istorijski postao prvi koji je organizovao DoS napade jednog tipa - UDP flood. Programi iz porodice "trinoo" se lako otkrivaju standardnim sigurnosnim alatima i ne predstavljaju prijetnju onima koji bar malo brinu o svojoj sigurnosti.
   • TFN i TFN2K- ozbiljnije oružje. Omogućava vam da istovremeno organizirate nekoliko vrsta napada - Štrumpf, UDP flood, ICMP flood i TCP SYN flood. Korištenje ovih programa zahtijeva od napadača da bude mnogo vještiji.
   • Najnoviji alat za organizovanje DoS napada - Stacheldracht("bodljikava žica"). Ovaj paket vam omogućava da organizujete razne vrste napada i lavine emitovanja ping zahteva. Osim toga, razmjena podataka između kontrolora i agenata je šifrirana, a funkcija auto-modifikacije ugrađena je u sam softver. Šifrovanje veoma otežava otkrivanje napadača.

   Da biste ublažili prijetnju, možete koristiti sljedeće:

   • Funkcije protiv lažiranja – Ispravno konfigurisanje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. Ove karakteristike bi, u najmanju ruku, trebale uključivati ​​filtriranje RFC 2827 Ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će izvršiti napad.
   • Anti-DoS karakteristike - Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
   • Ograničavanje brzine saobraćaja – organizacija može zatražiti od ISP-a da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Čest primjer je ograničavanje obima ICMP prometa, koji se koristi samo u dijagnostičke svrhe. DoS napadi često koriste ICMP.

   Postoji nekoliko vrsta prijetnji ove vrste:

   • Skriveno uskraćivanje usluge, kada se dio mrežnih resursa koristi za obradu paketa koje je prenio napadač, smanjujući kapacitet kanala, ometajući vrijeme obrade zahtjeva i ometajući rad mrežnih uređaja. Primjer: usmjerena oluja ICMP eho zahtjeva ili oluja zahtjeva TCP veze.
   • Očigledno uskraćivanje usluge uzrokovano iscrpljivanjem mrežnih resursa kao rezultat obrade paketa koje šalju napadači. Istovremeno, legitimni korisnički zahtjevi se ne mogu obraditi zbog činjenice da je cijeli propusni opseg kanala zauzet, baferi su puni, prostor na disku je pun itd. Primjer: usmjerena oluja (SYN-poplava).
   • Očigledno uskraćivanje usluge uzrokovano kršenjem logičke povezanosti između mrežnih tehničkih sredstava kada napadač prenosi kontrolne poruke u ime mrežnih uređaja. U tom slučaju se mijenjaju podaci o usmjeravanju i adresi. Primjer: ICMP Redirect Host ili DNS poplava.
   • Eksplicitno uskraćivanje usluge uzrokovano napadačem koji prenosi pakete sa nestandardnim atributima (na primjer, UDP-bomba) ili čija dužina prelazi maksimum (Ping Death).

   DoS napadi imaju za cilj ometanje dostupnosti informacija i ne krše integritet i povjerljivost.

6. Napadi na nivou aplikacije. Ova vrsta napada uključuje iskorištavanje rupa u serverskom softveru (HTML, sendmail, FTP). Koristeći ove ranjivosti, napadač dobija pristup računaru u ime korisnika aplikacije. Napadi na sloju aplikacije često koriste portove koji mogu "proći" kroz zaštitni zid.

   Glavni problem kod napada na nivou aplikacije je taj što oni često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji napada Web server može koristiti TCP port 80. Da bi Web server služio stranice korisnicima, port 80 na zaštitnom zidu mora biti otvoren. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

   Nemoguće je potpuno eliminisati napade na nivou aplikacije, jer se programi sa novim ranjivostima redovno pojavljuju. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko mjera koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

   • čitanje dnevnika (sistem i mreža);
   • praćenje ranjivosti u novom softveru pomoću specijalizovanih sajtova, na primer, http://www.cert.com.
   • korišćenje IDS-a.

Iz same prirode mrežnog napada, jasno je da njegovu pojavu ne kontrolira svaki određeni mrežni čvor. Nismo u praksi razmotrili sve moguće napade na mrežu, mnogo ih je više. Međutim, čini se da nije moguće zaštititi se od svih vrsta napada. Najbolji pristup zaštiti perimetra mreže je uklanjanje ranjivosti koje se koriste u većini cyber kriminalnih napada. Liste takvih ranjivosti objavljuju se na mnogim sajtovima koji prikupljaju takvu statistiku, na primer, sajt Instituta SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Običan napadač ne traži nikakve originalne metode napada, već skenira mrežu za poznatu ranjivost i iskorištava je.

Postoji veliki izbor različitih kompjuterskih konfiguracija, operativnih sistema i mrežne opreme, međutim, to ne postaje prepreka pristupu globalnoj mreži. Ovakva situacija je omogućena zahvaljujući univerzalnom mrežnom protokolu TCP/IP, koji uspostavlja određene standarde i pravila za prenos podataka preko Interneta. Nažalost, ova univerzalnost je dovela do toga da su računari koji koriste ovaj protokol postali podložni vanjskim utjecajima, a budući da se TCP/IP protokol koristi na svim računarima povezanim na Internet, napadači ne moraju razvijati individualne načine pristupa tuđim mašine.

Mrežni napad je pokušaj uticaja na udaljeni računar korišćenjem softverskih metoda. Po pravilu, svrha mrežnog napada je narušavanje povjerljivosti podataka, odnosno krađa informacija. Osim toga, mrežni napadi se izvode kako bi se dobio pristup tuđem računaru i naknadno promijenili fajlovi koji se nalaze na njemu.

Postoji nekoliko vrsta klasifikacija mrežnih napada. Jedan od njih je zasnovan na principu uticaja. Pasivni mrežni napadi imaju za cilj dobijanje poverljivih informacija sa udaljenog računara. Takvi napadi, na primjer, uključuju čitanje dolaznih i odlaznih poruka e-pošte. Što se tiče aktivnih mrežnih napada, njihov zadatak nije samo pristup određenim informacijama, već i njihova modifikacija. Jedna od najznačajnijih razlika između ovih vrsta napada je ta što je pasivne smetnje gotovo nemoguće otkriti, dok su efekti aktivnog napada obično uočljivi.

Osim toga, napadi se klasificiraju prema ciljevima kojima služe. Među glavnim zadacima, po pravilu, su ometanje rada računara, neovlašćeni pristup informacijama i skrivena modifikacija podataka pohranjenih na računaru. Na primjer, hakovanje školskog servera radi promjene ocjena u časopisima klasificira se kao aktivni mrežni napadi trećeg tipa.

Tehnologije zaštite

Metode zaštite od mrežnih napada stalno se razvijaju i poboljšavaju, ali nijedan od njih ne daje potpunu garanciju. Činjenica je da svaka statična odbrana ima slabosti, jer je nemoguće zaštititi se od svega odjednom. Što se tiče dinamičkih metoda zaštite, kao što su statističke, ekspertske, fuzzy logičke i neuronske mreže, i one imaju svoje slabosti, jer se baziraju prvenstveno na analizi sumnjivih radnji i upoređivanju sa poznatim metodama mrežnih napada. Shodno tome, većina odbrambenih sistema popušta pred nepoznatim vrstama napada, prekasno počinju da odbijaju upad. Međutim, savremeni sigurnosni sistemi napadaču toliko otežavaju pristup podacima da je racionalnije tražiti drugu žrtvu.

Još uvijek ne postoji precizna definicija pojma „napad“ (invazija, napad). Svaki stručnjak za sigurnost to tumači drugačije. Sljedeću definiciju smatram najispravnijom i najpotpunijom.

Napad Napadi na informacioni sistem su namjerne radnje napadača koje iskorištavaju ranjivosti informacionog sistema i dovode do narušavanja dostupnosti, integriteta i povjerljivosti obrađenih informacija.

Ako eliminišemo ranjivosti informacionog sistema, eliminisaćemo i mogućnost napada.

Trenutno se smatra nepoznatim koliko metoda napada postoji. Kažu da još uvijek nema ozbiljnih matematičkih istraživanja u ovoj oblasti. Ali još 1996. godine, Fred Cohen je opisao matematičku osnovu virusne tehnologije. Ovaj rad je dokazao da je broj virusa beskonačan. Očigledno, broj napada je beskonačan, budući da su virusi podskup mnogih napada.

Attack Models

Tradicionalni model napada se gradi po principu (sl. 1) ili (sl. 2), tj. napad dolazi iz jednog izvora. Programeri alata za mrežnu sigurnost (firewall, sistemi za otkrivanje napada, itd.) su posebno fokusirani na tradicionalni model napada. Agenti (senzori) sistema zaštite instalirani su na različitim tačkama štićene mreže, koji prenose informacije na centralnu upravljačku konzolu. Ovo olakšava skaliranje sistema, omogućava jednostavno upravljanje na daljinu itd. Međutim, ovaj model se ne nosi sa relativno nedavno (1998.) otkrivenom prijetnjom - distribuiranim napadima.
Slika 1. Odnos jedan na jedan

Model distribuiranog napada koristi različite principe. Za razliku od tradicionalnog modela u distribuiranom modelu koriste se relacije (slika 3) i (slika 4).

Distribuirani napadi su zasnovani na "klasičnim" napadima uskraćivanja usluge, a preciznije na njihovom podskupu poznatom kao Napadi poplava ili Napadi oluje(ovi termini se mogu prevesti kao “oluja”, “poplava” ili “lavina”). Smisao ovih napada je slanje velikog broja paketa napadnutom čvoru. Napadnuti čvor može propasti jer će se "zagušiti" u lavini poslanih paketa i neće moći obraditi zahtjeve ovlaštenih korisnika. Napadi SYN-Flood, Smurf, UDP Flood, Targa3, itd. rade na ovom principu. Međutim, ako propusni opseg kanala do napadnutog čvora premašuje propusni opseg napadača ili je napadnuti čvor pogrešno konfiguriran, tada takav napad neće dovesti do „uspjeha“. Na primjer, beskorisno je pokušavati poremetiti vašeg ISP-a ovim napadima. Ali distribuirani napad se više ne događa s jedne tačke na Internetu, već s nekoliko odjednom, što dovodi do naglog povećanja prometa i onemogućuje napadnuti čvor. Na primjer, prema Russia-Online, dva dana, počevši od 9 sati ujutro 28. decembra 2000. godine, najveći internet provajder u Jermeniji, Arminco, bio je podvrgnut distribuiranom napadu. U ovom slučaju se više od 50 mašina iz različitih zemalja pridružilo napadu i poslalo besmislene poruke na adresu Arminco. Bilo je nemoguće utvrditi ko je organizovao ovaj napad i u kojoj zemlji se haker nalazi. Iako je napadnut uglavnom Arminco, cijeli autoput koji povezuje Jermeniju sa World Wide Webom bio je preopterećen. Dana 30. decembra, zahvaljujući saradnji "Arminca" i drugog provajdera - "ArmenTela" - veza je u potpunosti obnovljena. Uprkos tome, kompjuterski napad se nastavio, ali manjeg intenziteta.

Faze implementacije napada

Mogu se razlikovati sljedeće faze napada:

Obično, kada se govori o napadu, misli se na drugu fazu, zaboravljajući na prvu i posljednju. Prikupljanje informacija i završetak napada („prikrivanje tragova“), zauzvrat, takođe može predstavljati napad i može se podijeliti u tri faze (vidi sliku 5).
Slika 5. Faze implementacije napada

Prikupljanje informacija je glavna faza napada. U ovoj fazi je efikasnost napadača ključ „uspjeha“ napada. Prvo se odabire cilj napada i prikupljaju se informacije o njemu (tip i verzija operativnog sistema, otvoreni portovi i pokrenuti mrežni servisi, instalirani sistemski i aplikativni softver i njegova konfiguracija, itd.). Tada se identifikuju najranjivije tačke napadnutog sistema čiji uticaj dovodi do željenog rezultata za napadača. Napadač pokušava identificirati sve kanale interakcije između cilja napada i drugih čvorova. Ovo će vam omogućiti ne samo da odaberete vrstu napada koji će se implementirati, već i izvor njegove implementacije. Na primjer, napadnuti čvor stupa u interakciju sa dva servera koji koriste Unix i Windows NT. Napadnuti čvor ima pouzdan odnos s jednim serverom, ali ne i s drugim. Server preko kojeg će napadač implementirati napad određuje koji će se napad koristiti, koja će se sredstva implementacije odabrati itd. Zatim, ovisno o primljenim informacijama i željenom rezultatu, odabire se napad koji daje najveći učinak. na primjer:
SYN Flood, Teardrop, UDP Bomb - za ometanje funkcionisanja čvora;
CGI skripta - za prodiranje u čvor i krađu informacija;
PHF - za krađu datoteke lozinke i daljinsko pogađanje lozinke, itd.

Tradicionalna sredstva zaštite, poput firewall-a ili mehanizama za filtriranje u ruterima, stupaju na snagu tek u drugoj fazi napada, potpuno "zaboravljajući" na prvu i treću. To dovodi do činjenice da je napad često vrlo teško zaustaviti, čak i uz moćnu i skupu odbranu. Primjer za to su distribuirani napadi. Logično bi bilo da zaštitna oprema proradi u prvoj fazi, tj. spriječilo bi mogućnost prikupljanja informacija o napadnutom sistemu. To bi omogućilo, ako ne u potpunosti spriječiti napad, onda barem značajno otežati rad napadača. Tradicionalna sredstva takođe ne dozvoljavaju otkrivanje napada koji su već počinjeni i procenu štete nakon njihovog sprovođenja, tj. ne rade u trećoj fazi napada. Stoga je nemoguće odrediti mjere za sprječavanje ovakvih napada u budućnosti.

U zavisnosti od željenog rezultata, napadač se koncentriše na jednu ili drugu fazu napada. na primjer:
za uskraćivanje usluge, napadnuta mreža se detaljno analizira, traže rupe i slabosti;
za krađu informacija, glavni fokus je na tihom prodoru u napadnute čvorove koristeći ranije otkrivene ranjivosti.

Razmotrimo glavne mehanizme za implementaciju napada. Ovo je neophodno za razumijevanje kako otkriti ove napade. Osim toga, razumijevanje načina na koji napadači rade je ključ uspješne odbrane mreže.

1. Prikupljanje informacija

Prva faza implementacije napada je prikupljanje informacija o napadnutom sistemu ili čvoru. Uključuje radnje kao što su određivanje topologije mreže, tipa i verzije operativnog sistema napadnutog čvora, kao i dostupnih mrežnih i drugih usluga, itd. Ove akcije se provode različitim metodama.

Istraživanje okoline

U ovoj fazi, napadač istražuje mrežno okruženje oko ciljanog cilja napada. Takva područja, na primjer, uključuju domaćine internet provajdera žrtve ili hostove udaljene kancelarije napadnute kompanije. U ovoj fazi, napadač može pokušati da odredi adrese "pouzdanih" sistema (na primjer, mreže partnera) i čvorova koji su direktno povezani sa ciljem napada (na primjer, ISP ruter) itd. Takve radnje je prilično teško otkriti jer se izvode u prilično dugom vremenskom periodu i izvan područja pod kontrolom sigurnosnih mjera (firewall, sistemi za detekciju upada itd.).

Identifikacija mrežne topologije

Postoje dvije glavne metode koje napadači koriste za određivanje topologije mreže:

1. TTL promjena (TTL modulacija),
2. snimite rutu.

Prva metoda koristi traceroute za Unix i tracert za Windows programe. Oni koriste polje Time to Live u zaglavlju IP paketa, koje varira u zavisnosti od broja rutera koje mrežni paket prolazi. Pomoćni program za ping se može koristiti za snimanje rute ICMP paketa. Često se topologija mreže može odrediti korištenjem SNMP protokola instaliranog na mnogim mrežnim uređajima čija sigurnost nije ispravno konfigurirana. Koristeći RIP protokol, možete pokušati dobiti informacije o tablici rutiranja na mreži itd.

Mnoge od ovih metoda koriste savremeni sistemi upravljanja (na primjer, HP OpenView, Cabletron SPECTRUM, MS Visio, itd.) za pravljenje mrežnih mapa. I te iste metode napadači mogu uspješno koristiti da naprave mapu napadnute mreže.

Identifikacija čvora

Host se identifikuje, u pravilu, slanjem naredbe ECHO_REQUEST ICMP pomoću ping uslužnog programa. Poruka odgovora ECHO_REPLY označava da je čvor dostupan. Postoje besplatno dostupni programi koji automatiziraju i ubrzavaju proces paralelne identifikacije velikog broja čvorova, na primjer, fping ili nmap. Opasnost ove metode je da zahtjevi ECHO_REQUEST ne snimaju standardni alati za čvorove. Da biste to učinili, trebate koristiti alate za analizu prometa, firewall ili sisteme za otkrivanje napada.

Ovo je najjednostavniji metod za identifikaciju čvorova. Međutim, ima dva nedostatka.

1. Mnogi mrežni uređaji i programi blokiraju ICMP pakete i ne dozvoljavaju im da uđu u internu mrežu (ili, obrnuto, ne dozvoljavaju im da prođu van). Na primjer, MS Proxy Server 2.0 ne dozvoljava prolazak paketa kroz ICMP protokol. Rezultat je nepotpuna slika. S druge strane, blokiranje ICMP paketa govori napadaču o prisutnosti "prve linije odbrane" - rutera, firewall-a itd.
2. Upotreba ICMP zahtjeva olakšava otkrivanje njihovog izvora, što, naravno, ne može biti zadatak napadača.

Postoji još jedna metoda za identifikaciju čvorova - korištenjem "mješovitog" načina mrežne kartice, koji vam omogućava da identificirate različite čvorove u mrežnom segmentu. Ali nije primjenjiv u slučajevima u kojima promet segmenta mreže nije dostupan napadaču sa svog čvora, tj. Ova metoda je primjenjiva samo na lokalnim mrežama. Drugi način za identifikaciju mrežnih čvorova je takozvano DNS rekognosciranje, koje vam omogućava da identifikujete korporativne mrežne čvorove kontaktiranjem servera usluge imena.

Identifikacija usluge ili skeniranje portova

Identifikacija usluga se obično vrši otkrivanjem otvorenih portova (port scanning). Takvi portovi su vrlo često povezani sa uslugama zasnovanim na TCP ili UDP protokolima. na primjer:

• otvoreni port 80 implicira prisustvo web servera,
• Port 25 - SMTP mail server,
• 31337th - serverski dio trojanskog konja BackOrifice,
• 12345. ili 12346. - serverski dio NetBus trojanskog konja, itd.

Identifikacija operativnog sistema

Glavni mehanizam za daljinsko otkrivanje OS-a je analiza odgovora na zahtjeve, uzimajući u obzir različite implementacije TCP/IP steka u različitim operativnim sistemima. Svaki OS implementira stek TCP/IP protokola na svoj način, što omogućava određivanje koji je OS instaliran na udaljenom hostu koristeći posebne zahtjeve i odgovore na njih.

Drugi, manje efikasan i izuzetno ograničen, način da se identifikuju operativni sistemi domaćina je analiza mrežnih usluga otkrivenih u prethodnoj fazi. Na primjer, otvoreni port 139 nam omogućava da zaključimo da udaljeni host najvjerovatnije koristi Windows operativni sistem. Za određivanje operativnog sistema mogu se koristiti različiti programi. Na primjer, nmap ili queso.

Definiranje uloge čvora

Pretposljednji korak u fazi prikupljanja informacija o napadnutom hostu je određivanje njegove uloge, na primjer, obavljanje funkcija firewall-a ili web servera. Ovaj korak se izvodi na osnovu već prikupljenih informacija o aktivnim uslugama, imenima hostova, topologiji mreže itd. Na primjer, otvoreni port 80 može ukazivati ​​na prisustvo Web servera, blokiranje ICMP paketa ukazuje na potencijalno prisustvo zaštitnog zida, a ime DNS hosta proxy.domain.ru ili fw.domain.ru govori samo za sebe.

Utvrđivanje ranjivosti domaćina

Posljednji korak je potraga za ranjivostima. U ovom koraku, napadač, koristeći različita automatizirana sredstva ili ručno, identificira ranjivosti koje se mogu koristiti za izvođenje napada. ShadowSecurityScanner, nmap, Retina, itd. mogu se koristiti kao takvi automatizirani alati.

2. Implementacija napada

Od ovog trenutka počinje pokušaj pristupa napadnutom čvoru. U ovom slučaju pristup može biti ili direktan, tj. prodor u čvor, ili indirektno, na primjer, prilikom implementacije napada uskraćivanjem usluge. Implementacija napada u slučaju direktnog pristupa također se može podijeliti u dvije faze:

• penetracija;
• uspostavljanje kontrole.

Penetracija

Penetracija uključuje probijanje perimetarske odbrane (na primjer, zaštitni zid). To se može realizovati na različite načine. Na primjer, iskorištavanje ranjivosti računarske usluge koja gleda prema van ili prenošenjem neprijateljskog sadržaja putem e-pošte (makro virusi) ili preko Java apleta. Takav sadržaj može koristiti takozvane “tunele” u firewall-u (ne brkati se s VPN tunelima), kroz koje napadač tada prodire. Ova faza takođe uključuje odabir lozinke administratora ili drugog korisnika pomoću specijalizovanog uslužnog programa (na primjer, L0phtCrack ili Crack).

Uspostavljanje kontrole

Nakon penetracije, napadač uspostavlja kontrolu nad napadnutim čvorom. Ovo se može uraditi uvođenjem programa trojanskog konja (npr. NetBus ili BackOrifice). Nakon uspostavljanja kontrole nad željenim čvorom i prikrivanja njegovih tragova, napadač može daljinski izvršiti sve potrebne neovlaštene radnje bez znanja vlasnika napadnutog računara. U ovom slučaju, uspostavljanje kontrole nad čvorom korporativne mreže mora se održati čak i nakon ponovnog pokretanja operativnog sistema. Ovo se može učiniti zamjenom jedne od datoteka za pokretanje ili umetanjem veze do neprijateljskog koda u datoteke za pokretanje ili sistemski registar. Poznat je slučaj kada je napadač bio u mogućnosti da reprogramira EEPROM mrežne kartice, pa čak i nakon ponovne instalacije OS-a, mogao je ponovo implementirati neovlaštene radnje. Jednostavnija modifikacija ovog primjera je ugradnja potrebnog koda ili isječka u skriptu za pokretanje mreže (na primjer, za Novell Netware OS).

Ciljevi napada

Završna faza napada je „prikrivanje tragova“ na strani napadača. Ovo se obično postiže brisanjem odgovarajućih unosa iz evidencije hosta i drugim radnjama koje vraćaju napadnuti sistem u prvobitno, "prenapadnuto" stanje.

Klasifikacija napada

Postoje različite vrste klasifikacija napada. Na primjer, podjela na pasivne i aktivne, vanjske i unutrašnje, namjerne i nenamjerne. Međutim, kako vas ne bismo zbunili sa širokim spektrom klasifikacija koje su od male koristi u praksi, predlažem klasifikaciju više „nalik na život“:

1. Prodor na daljinu. Napadi koji omogućavaju daljinsku kontrolu računara preko mreže. Na primjer, NetBus ili BackOrifice.
2. Lokalni prodor. Napad koji rezultira neovlaštenim pristupom hostu na kojem je pokrenut. Na primjer, GetAdmin.
3. Daljinsko uskraćivanje usluge. Napadi koji ometaju ili preopterećuju računar preko Interneta. Na primjer, Teardrop ili trin00.
4. Lokalno uskraćivanje usluge. Napadi koji vam omogućavaju da poremetite ili preopteretite računar na kojem su implementirani. Primjer takvog napada je "neprijateljski" aplet koji učitava CPU u beskonačnu petlju, što onemogućuje obradu zahtjeva iz drugih aplikacija.
5. Mrežni skeneri. Programi koji analiziraju topologiju mreže i otkrivaju servise koji mogu biti napadnuti. Na primjer, nmap sistem.
6. Skeneri ranjivosti. Programi koji traže ranjivosti na mrežnim čvorovima i koji se mogu koristiti za izvođenje napada. Na primjer, SATAN sistem ili ShadowSecurityScanner.
7. Krekeri lozinki. Programi koji "pogađaju" korisničke lozinke. Na primjer, L0phtCrack za Windows ili Crack za Unix.
8. Analizatori protokola (njuškari). Programi koji "slušaju" mrežni saobraćaj. Koristeći ove programe, možete automatski tražiti informacije kao što su korisnički ID-ovi i lozinke, podaci o kreditnoj kartici itd. Na primjer, Microsoft Network Monitor, NetXRay kompanije Network Associates ili LanExplorer.

Internet Security Systems, Inc. dodatno smanjio broj mogućih kategorija, dovodeći ih na 5:

1. Prikupljanje informacija.
2. Pokušaji neovlaštenog pristupa.
3. Uskraćivanje usluge.
4. Sumnjiva aktivnost.
5. Sistemski napadi.

Prve 4 kategorije odnose se na udaljene napade, a posljednja - na lokalne, implementirane na napadnuti čvor. Može se primijetiti da ova klasifikacija ne uključuje čitavu klasu takozvanih „pasivnih“ napada („prisluškivanje saobraćaja“, „lažni DNS server,“ „lažiranje ARP servera“ itd.).

Klasifikacija napada implementirana u mnogim sistemima za otkrivanje napada ne može biti kategorička. Na primjer, napad čija implementacija na Unix OS (na primjer, statd buffer overflow) može imati najstrašnije posljedice (najveći prioritet), na Windows NT OS možda uopće nije primjenjiv ili ima vrlo nizak stepen rizika. Osim toga, postoji zabuna u samim nazivima napada i ranjivosti. Isti napad može imati različita imena od različitih proizvođača sistema za otkrivanje napada.

Jedna od najboljih baza podataka o ranjivosti i napadima je baza podataka X-Force koja se nalazi na: http://xforce.iss.net/. Može se pristupiti ili pretplatom na besplatno distribuiranu X-Force Alert mailing listu ili interaktivnim pretraživanjem baze podataka na ISS Web serveru.

Zaključak

Bez ranjivosti u komponentama informacionog sistema, mnogi napadi ne bi bili mogući i stoga bi tradicionalni sigurnosni sistemi bili prilično efikasni u suočavanju sa mogućim napadima. Međutim, programe pišu ljudi koji su skloni greškama. Kao rezultat, pojavljuju se ranjivosti koje napadači koriste za izvođenje napada. Međutim, ovo je samo pola priče. Kada bi se svi napadi zasnivali na modelu jedan na jedan, onda bi to bilo malo nategnuto, ali bi vatrozidi i drugi sigurnosni sistemi također bili u stanju da ih izdrže. No, pojavili su se koordinirani napadi protiv kojih tradicionalna sredstva više nisu toliko učinkovita. I tu se na sceni pojavljuju nove tehnologije – tehnologije za otkrivanje napada. Navedena sistematizacija podataka o napadima i fazama njihove implementacije daje neophodnu osnovu za razumijevanje tehnologija otkrivanja napada.

Alati za otkrivanje kompjuterskih napada

Tehnologija otkrivanja upada mora riješiti sljedeće probleme:

• Prepoznati poznate napade i upozoriti odgovarajuće osoblje na njih.
• „Razumijevanje“ često nejasnih izvora informacija o napadima.
• Oslobađanje ili smanjenje opterećenja bezbednosnog osoblja od rutinskog rutinskog praćenja korisnika, sistema i mreža koje su komponente korporativne mreže.
• Sposobnost upravljanja sigurnosnim kontrolama od strane stručnjaka koji nisu za sigurnost.
• Kontrola svih radnji subjekata korporativne mreže (korisnika, programa, procesa itd.).

Vrlo često sistemi za otkrivanje napada mogu obavljati funkcije koje značajno proširuju opseg njihove primjene. na primjer,

• Praćenje efikasnosti zaštitnih zidova. Na primjer, instaliranje sistema za otkrivanje napada nakon firewall(unutar korporativne mreže) vam omogućava da otkrijete napade koje je propustio zaštitni zid i na taj način odredite pravila koja nedostaju na zaštitnom zidu.
• Nadgledanje mrežnih čvorova sa deinstaliranim ažuriranjima ili čvorova sa zastarjelim softverom.
• Blokiranje i kontrola pristupa određenim internet stranicama. Iako su sistemi za otkrivanje napada daleko od firewall-a i sistema kontrole pristupa za različite URL-ove, na primjer, WEBsweeper, oni mogu vršiti djelomičnu kontrolu i blokirati pristup nekih korisnika korporativne mreže određenim Internet resursima, na primjer, web serverima sa pornografskim sadržajem. Ovo je neophodno kada organizacija nema novca za kupovinu i zaštitnog zida i sistema za otkrivanje napada, a funkcije zaštitnog zida su raspoređene između sistema za otkrivanje napada, rutera i proxy servera. Dodatno, sistemi za otkrivanje upada mogu pratiti pristup zaposlenika serverima na osnovu ključnih riječi. Na primjer, seks, posao, krek, itd.
• Kontrola e-pošte. Sistemi za otkrivanje upada mogu se koristiti za praćenje nepouzdanih zaposlenika koji koriste e-poštu za obavljanje zadataka izvan svojih funkcionalnih odgovornosti, kao što je slanje životopisa. Neki sistemi mogu otkriti viruse u porukama e-pošte i, iako su daleko od pravih antivirusnih sistema, i dalje obavljaju ovaj zadatak prilično efikasno.

Najbolje korištenje vremena i iskustva stručnjaka za sigurnost informacija je otkrivanje i uklanjanje uzroka napada, a ne otkrivanje samih napada. Otklanjanjem uzroka napada, tj. Identifikovanjem i eliminacijom ranjivosti, administrator na taj način eliminiše samu činjenicu potencijalnih napada. U suprotnom, napad će se ponavljati iznova i iznova, zahtijevajući stalno napore i pažnju administratora.

Klasifikacija sistema za detekciju upada

Postoji veliki broj različitih klasifikacija sistema za detekciju upada, ali najčešća je klasifikacija zasnovana na principu implementacije:

1. baziran na hostu, odnosno otkrivanje napada usmjerenih na određeni mrežni čvor,
2. mrežni, odnosno otkrivanje napada usmjerenih na cijelu mrežu ili segment mreže.

Sistemi za otkrivanje upada koji nadgledaju pojedinačni računar obično prikupljaju i analiziraju informacije iz dnevnika operativnog sistema i raznih aplikacija (Web server, DBMS, itd.). RealSecure OS Sensor radi na ovom principu. Međutim, nedavno su sistemi koji su čvrsto integrisani sa jezgrom OS-a postali široko rasprostranjeni, pružajući na taj način efikasniji način za otkrivanje kršenja bezbednosnih politika. Štaviše, takva integracija se može provesti na dva načina. Prvo, mogu se pratiti svi sistemski pozivi OS (ovako radi Entercept) ili sav dolazni/odlazni mrežni promet (ovako radi RealSecure Server Sensor). U potonjem slučaju, sistem za detekciju upada hvata sav mrežni promet direktno sa mrežne kartice, zaobilazeći operativni sistem, čime se smanjuje ovisnost o njemu i time povećava sigurnost sistema za otkrivanje upada.

Sistemi za otkrivanje napada na nivou mreže prikupljaju informacije iz same mreže, odnosno iz mrežnog saobraćaja. Ovi sistemi mogu raditi na običnim računarima (na primjer, RealSecure Network Sensor), na specijalizovanim računarima (na primjer, RealSecure za Nokia ili Cisco Secure IDS 4210 i 4230) ili integrirani u rutere ili prekidače (na primjer, CiscoSecure IOS Integrated Software ili Cisco Catalyst 6000 IDS modul). U prva dva slučaja, analizirane informacije se prikupljaju hvatanjem i analizom paketa koristeći mrežna sučelja u promiskuitetnom načinu. U potonjem slučaju, promet se hvata sa sabirnice mrežne opreme.

Detekcija napada zahteva ispunjenje jednog od dva uslova - ili razumevanje očekivanog ponašanja nadziranog sistema sistema ili poznavanje svih mogućih napada i njihovih modifikacija. Prvi slučaj koristi tehnologiju za otkrivanje anomalnog ponašanja, a drugi slučaj koristi tehnologiju za otkrivanje zlonamjernog ponašanja ili zloupotrebe. Druga tehnologija je opisati napad u obliku obrasca ili potpisa i tražiti ovaj obrazac u kontroliranom prostoru (na primjer, mrežni promet ili dnevnik). Ova tehnologija je vrlo slična detekciji virusa (antivirusni sistemi su vrhunski primjer sistema za otkrivanje napada), tj. sistem može otkriti sve poznate napade, ali je slabo opremljen da otkrije nove, još nepoznate napade. Pristup implementiran u ovakvim sistemima je vrlo jednostavan i na njemu se zasnivaju gotovo svi sistemi za otkrivanje napada koji se danas nude na tržištu.

Gotovo svi sistemi za otkrivanje napada zasnovani su na pristupu potpisa.

Prednosti sistema za detekciju upada

Mogli bismo u nedogled o raznim prednostima sistema za otkrivanje napada koji rade na nivou hosta i mreže. Međutim, fokusiraću se samo na neke od njih.

Prebacivanje omogućava upravljanje mrežama velikih razmjera kao više malih mrežnih segmenata. Kao rezultat toga, može biti teško odrediti najbolju lokaciju za instaliranje sistema koji otkriva napade u mrežnom prometu. Ponekad span portovi na prekidačima mogu pomoći, ali ne uvijek. Detekcija napada specifičnog za host omogućava efikasniji rad komutiranih mreža dozvoljavajući sistemima za otkrivanje da budu postavljeni samo na one hostove gdje su potrebni.

Sistemi mrežnog sloja ne zahtijevaju instaliranje softvera za otkrivanje upada na svakom hostu. Budući da je broj mjesta na kojima je instaliran IDS za nadgledanje cijele mreže mali, cijena njihovog rada u mreži preduzeća je niža od cijene rada sistema za otkrivanje napada na nivou sistema. Osim toga, za praćenje mrežnog segmenta potreban je samo jedan senzor, bez obzira na broj čvorova u datom segmentu.

Jednom kada mrežni paket napusti računar napadača, više se ne može vratiti. Sistemi koji rade na mrežnom sloju koriste promet uživo za otkrivanje napada u realnom vremenu. Dakle, napadač ne može ukloniti tragove svojih neovlaštenih aktivnosti. Analizirani podaci ne uključuju samo informacije o načinu napada, već i informacije koje mogu pomoći u identifikaciji napadača i dokazivanju na sudu. Budući da su mnogi hakeri upoznati sa mehanizmima sistemskog evidentiranja, oni znaju kako da manipulišu ovim datotekama kako bi sakrili tragove svojih aktivnosti, smanjujući efikasnost sistema na nivou sistema koji zahtijevaju ove informacije da bi otkrili napad.

Sistemi koji rade na nivou mreže otkrivaju sumnjive događaje i napade kako se dogode i stoga pružaju mnogo brže obavještenje i odgovor od sistema koji analiziraju dnevnike. Na primjer, haker koji pokreće TCP-bazirani mrežni napad uskraćivanja usluge može biti zaustavljen sistemom za otkrivanje upada na mrežnom sloju koji šalje TCP paket sa Reset zastavicom postavljenom u zaglavlju kako bi prekinuo vezu s hostom koji napada prije nego što napad uzrokuje uništenje ili uništenje napadnutog čvora. Sistemi za analizu dnevnika ne prepoznaju napade sve dok se ne napravi odgovarajući unos u dnevnik i preduzimaju kontraakciju nakon što je unos napravljen. Do ove tačke, najkritičniji sistemi ili resursi su možda već bili kompromitovani ili je sistem koji pokreće sistem za otkrivanje napada na nivou hosta možda poremećen. Obavještenje u realnom vremenu vam omogućava da brzo odgovorite prema unaprijed definiranim parametrima. Ove reakcije se kreću od omogućavanja infiltracije u načinu nadzora kako bi se prikupile informacije o napadu i napadaču, do momentalnog okončanja napada.

I konačno, sistemi za otkrivanje upada koji rade na nivou mreže su nezavisni od operativnih sistema instaliranih na korporativnoj mreži, budući da rade na mrežnom saobraćaju koji se razmenjuje između svih čvorova na korporativnoj mreži. Sistem za otkrivanje upada ne brine koji je OS generirao određeni paket, sve dok je u skladu sa standardima koje podržava sistem za detekciju. Na primjer, Windows 98, Windows NT, Windows 2000 i XP, Netware, Linux, MacOS, Solaris itd. mogu raditi na mreži, ali ako međusobno komuniciraju putem IP-a, onda bilo koji od sistema za otkrivanje napada koji podržavaju ovaj protokol će moći otkriti napade usmjerene na ove operativne sisteme.

Kombinovana upotreba sistema za otkrivanje napada na nivou mreže i na nivou hosta poboljšaće bezbednost vaše mreže.

Sistemi za otkrivanje mrežnih napada i zaštitni zidovi

Najčešće se pokušavaju zamijeniti sistemi za otkrivanje mrežnih napada firewall-ima, oslanjajući se na činjenicu da potonji pružaju vrlo visok nivo sigurnosti. Međutim, imajte na umu da su zaštitni zidovi jednostavno sistemi zasnovani na pravilima koji dozvoljavaju ili odbijaju promet kroz njih. Čak ni zaštitni zidovi izgrađeni pomoću tehnologije "" ne dozvoljavaju da se sa sigurnošću kaže da li je napad prisutan u prometu koji oni kontroliraju ili ne. Oni mogu reći da li se promet podudara s pravilom ili ne. Na primjer, zaštitni zid je konfiguriran da blokira sve veze osim TCP veza na portu 80 (tj. HTTP saobraćaj). Dakle, svaki saobraćaj kroz port 80 je legalan sa stanovišta ITU-a. S druge strane, sistem za otkrivanje upada također prati promet, ali u njemu traži znakove napada. Nije bitno za koju luku je saobraćaj namenjen. Podrazumevano, sav saobraćaj je sumnjiv za sistem za otkrivanje upada. Odnosno, uprkos činjenici da sistem za detekciju upada radi sa istim izvorom podataka kao i firewall, odnosno sa mrežnim saobraćajem, oni obavljaju komplementarne funkcije. Na primjer, HTTP zahtjev "GET /../../../etc/passwd HTTP/1.0". Gotovo svaki ITU dozvoljava da ovaj zahtjev prođe kroz sebe. Međutim, sistem za otkrivanje napada će lako otkriti ovaj napad i blokirati ga.

Možemo povući sljedeću analogiju. Vatrozid je obična okretnica instalirana na glavnom ulazu u vašu mrežu. Ali pored glavnih vrata, tu su i druga vrata, kao i prozori. Maskiranjem u pravog zaposlenika ili stjecanjem povjerenja stražara na okretnici, napadač može pronijeti eksplozivnu napravu ili pištolj kroz okretnicu. Ne samo to. Uljez se može popeti na vaš prozor. Zato su nam potrebni sistemi za otkrivanje napada koji poboljšavaju zaštitu koju pružaju zaštitni zidovi, koji su, iako neophodan, ali očigledno nedovoljan element mrežne sigurnosti.

Firewall- nije panaceja!

Opcije za odgovor na otkriveni napad

Nije dovoljno otkriti napad, potrebno je na njega odgovoriti. Opcije odgovora u velikoj meri određuju efikasnost sistema za otkrivanje napada. Trenutno su ponuđene sljedeće opcije odgovora:

• Obavijest konzoli (uključujući sigurnosnu kopiju) sistema za otkrivanje upada ili konzoli integriranog sistema (na primjer, firewall).
• Zvučno obavještenje o napadu.
• Generisanje SNMP kontrolnih sekvenci za sisteme upravljanja mrežom.
• Generisanje izvještaja o napadu putem e-pošte.
• Dodatne obavijesti putem pejdžera ili faksa. Vrlo zanimljiva, iako rijetko korištena prilika. Upozorenje o otkrivanju neovlaštene aktivnosti šalje se ne administratoru, već napadaču. Prema riječima pristalica ove opcije odgovora, prekršilac je, nakon saznanja da je otkriven, primoran da prekine sa svojim postupcima.
• Obavezna registracija otkrivenih događaja. Kao dnevnik može poslužiti sljedeće:
  • tekstualni fajl,
  • syslog (na primjer, u Cisco Secure Integrated Software sistemu),
  • tekstualnu datoteku posebnog formata (na primjer, u sistemu Snort),
  • lokalna MS Access baza podataka,
  • SQL baza podataka (na primjer, u sistemu RealSecure).
  Samo treba uzeti u obzir da je za količinu snimljenih informacija obično potrebna SQL baza podataka - MS SQL ili Oracle.
• Trag događaja, tj. snimajući ih redoslijedom i brzinom kojom ih je napadač implementirao. Zatim, u bilo kojem trenutku, administrator može ponoviti (ponovno ili reproducirati) potrebnu sekvencu događaja određenom brzinom (u realnom vremenu, uz ubrzanje ili usporavanje) kako bi analizirao aktivnost napadača. To će vam omogućiti da shvatite njegove kvalifikacije, korištena sredstva napada itd.
• Prekidanje napadačevih radnji, tj. prekidanje veze. Ovo se može uraditi na sljedeći način:
  • presretanje veze (otmica sesije) i slanje paketa sa postavljenom RST zastavicom oba učesnika u mrežnoj vezi u ime svakog od njih (u sistemu za otkrivanje napada koji radi na nivou mreže);
  • blokiranje korisničkog naloga koji izvodi napad (u sistemu za otkrivanje napada na nivou hosta). Takvo blokiranje može se vršiti ili na određeni vremenski period ili dok administrator ne otključa račun. U zavisnosti od privilegija sa kojima sistem za otkrivanje napada radi, blokiranje može da funkcioniše kako unutar samog računara, koji je cilj napada, tako i unutar čitavog mrežnog domena.
• Rekonfiguracija mrežne opreme ili firewall-a. Ako se otkrije napad, ruteru ili zaštitnom zidu se šalje komanda za promjenu liste kontrole pristupa. Nakon toga, svi pokušaji povezivanja od napadačkog čvora će biti odbijeni. Poput blokiranja naloga napadača, promjena liste kontrole pristupa može se izvršiti ili u određenom vremenskom periodu ili dok promjenu ne otkaže administrator rekonfigurabilne mrežne opreme.
• Blokiranje mrežnog saobraćaja na isti način kao što je implementirano u zaštitnim zidovima. Ova opcija vam omogućava da ograničite promet, kao i primaoce koji mogu pristupiti resursima zaštićenog računara, omogućavajući vam da obavljate funkcije dostupne u ličnim zaštitnim zidovima.

Internet u potpunosti mijenja naš način života: posao, učenje, slobodno vrijeme. Ove promjene će se dogoditi kako u oblastima koje već poznajemo (elektronska trgovina, pristup informacijama u realnom vremenu, povećane komunikacijske mogućnosti, itd.), tako i u onim oblastima o kojima još nemamo ideju.

Možda će doći vrijeme kada će korporacija sve svoje telefonske pozive obavljati preko Interneta, potpuno besplatno. U privatnom životu mogu se pojaviti posebne web stranice uz pomoć kojih roditelji u svakom trenutku mogu saznati kako im je djeca. Naše društvo tek počinje da shvata neograničene mogućnosti interneta.

Uvod

Istovremeno sa enormnim rastom popularnosti interneta, javlja se neviđena opasnost od otkrivanja ličnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

Hakeri svakodnevno prijete ovim resursima pokušavajući im pristupiti koristeći posebne napade koji s jedne strane postepeno postaju sofisticiraniji i lakši za izvođenje s druge. Dva glavna faktora doprinose tome.

Prvo, ovo je široka penetracija interneta. Danas postoje milioni uređaja povezanih na Internet, a mnogi milioni uređaja će biti povezani na Internet u bliskoj budućnosti, što čini sve vjerovatnijim da će hakeri dobiti pristup ranjivim uređajima.

Osim toga, široka upotreba interneta omogućava hakerima da razmjenjuju informacije na globalnom nivou. Jednostavna pretraga ključnih riječi kao što su “haker”, “hakiranje”, “hack”, “crack” ili “phreak” vratit će vam hiljade stranica, od kojih mnoge sadrže zlonamjerni kod i kako ga koristiti.

Drugo, ovo je najšira distribucija operativnih sistema i razvojnih okruženja lakih za upotrebu. Ovaj faktor naglo smanjuje nivo znanja i vještina potrebnih hakeru. Ranije, da bi kreirao i distribuirao aplikacije jednostavne za korištenje, haker je morao imati dobre programerske vještine.

Sada, da biste dobili pristup hakerskom alatu, potrebno je samo znati IP adresu željenog sajta, a da biste izvršili napad, samo jednim klikom miša.

Klasifikacija mrežnih napada

Mrežni napadi su različiti kao i sistemi na koje ciljaju. Neki napadi su vrlo složeni, dok su drugi u mogućnostima običnog operatera, koji ni ne zamišlja posljedice svojih aktivnosti. Da biste procijenili tipove napada, morate znati neka od inherentnih ograničenja TPC/IP protokola. Net

Internet je stvoren za komunikaciju između vladinih agencija i univerziteta kako bi se pomogao obrazovni proces i naučno istraživanje. Kreatori ove mreže nisu ni slutili koliko će ona postati raširena. Kao rezultat toga, specifikacijama ranih verzija Internet protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije inherentno ranjive.

Nakon mnogo godina, nakon mnogih pritužbi (Request for Comments, RFC), sigurnosne mjere za IP konačno su počele da se implementiraju. Međutim, zbog činjenice da sigurnosne mjere nisu inicijalno razvijene za IP protokol, sve njegove implementacije su počele da se dopunjuju raznim mrežnim procedurama, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo ukratko pogledati tipove napada koji se obično koriste na IP mreže i navesti načine za borbu protiv njih.

Sniffer paketa

Sniffer paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala u aplikaciju na obradu).

U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određeni domen. Trenutno, njuškari rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnostiku kvarova i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3, itd..), pomoću njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sistema. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.

Ako aplikacija radi u režimu klijent-server, a podaci o autentifikaciji se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri suviše dobro poznaju i iskorištavaju ljudske slabosti (metode napada su često zasnovane na metodama društvenog inženjeringa).

Oni su svjesni da koristimo istu lozinku za pristup mnogim resursima i stoga često uspijevaju dobiti pristup važnim informacijama tako što saznaju našu lozinku. U najgorem slučaju, haker dobija pristup korisničkom resursu na nivou sistema i koristi ga za kreiranje novog korisnika koji se može koristiti u bilo kom trenutku za pristup mreži i njenim resursima.

Možete smanjiti opasnost od njuškanja paketa korištenjem sljedećih alata::

Autentifikacija. Jaka autentifikacija je najvažniji način zaštite od njuškanja paketa. Pod “jakim” mislimo na metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP).

OTP je tehnologija dvofaktorske autentifikacije koja kombinuje ono što imate sa onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata koji vas identificira, prvo, po vašoj plastičnoj kartici, a drugo po PIN kodu koji unesete. PIN kod i vaša lična kartica su takođe potrebni za autentifikaciju u OTP sistemu.

Pod "karticom" (token) podrazumijevamo hardverski ili softverski alat koji generiše (po principu slučajnog odabira) jedinstvenu jednokratnu, jednokratnu lozinku. Ako haker sazna ovu lozinku pomoću njuškala, tada će ti podaci biti beskorisni, jer će u tom trenutku lozinka već biti korištena i povučena.

Imajte na umu da je ovaj metod borbe protiv njuškanja efikasan samo u slučajevima presretanja lozinke. Njuškači koji presreću druge informacije (kao što su poruke e-pošte) ostaju na snazi.

Komutirana infrastruktura. Drugi način za borbu protiv njuškanja paketa u vašem mrežnom okruženju je kreiranje komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi dial-up Ethernet, hakeri mogu pristupiti samo prometu koji dolazi na port na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

Antisniffers. Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi alati za sigurnost mreže, uključeni u cjelokupni sistem zaštite. Antisniffers mjere vrijeme odgovora hosta i određuju da li hostovi moraju obraditi nepotreban promet. Jedan takav proizvod, dostupan od LOpht Heavy Industries, zove se AntiSniff.

Kriptografija. Ovo je najefikasniji način borbe protiv njuškanja paketa, iako ne sprečava presretanje i ne prepoznaje rad njuškača, ali čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv niz bitova). Cisco kriptografija mrežnog sloja zasniva se na IPSec protokolu, koji je standardni metod za sigurnu komunikaciju između uređaja koristeći IP protokol. Ostali protokoli za upravljanje kriptografskim mrežama uključuju SSH (Secure Shell) i SSL (Secure Socket Layer).

IP lažiranje

IP lažiranje se događa kada se haker, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je u opsegu ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima.

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad, koji počinje s tuđe adrese, skrivajući pravi identitet hakera.

Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između klijentske i serverske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja.

Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, čak ni ne pokušavaju da dobiju odgovor od aplikacija - ako je glavni cilj da dobiju važnu datoteku iz sistema, onda odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tabele rutiranja i usmjeriti promet na lažnu IP adresu, on će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

• Kontrola pristupa. Najlakši način da spriječite lažiranje IP-a je da pravilno konfigurirate kontrolu pristupa. Da biste smanjili efikasnost lažiranja IP-a, konfigurišite kontrolu pristupa tako da odbije svaki saobraćaj koji dolazi sa spoljne mreže sa izvornom adresom koja bi se trebala nalaziti unutar vaše mreže.

  Istina, ovo pomaže u borbi protiv lažiranja IP-a, kada su ovlaštene samo interne adrese; ako su neke vanjske mrežne adrese također ovlaštene, ova metoda postaje neefikasna;

• RFC 2827 filtriranje. Možete spriječiti korisnike na vašoj mreži da lažiraju mreže drugih ljudi (i postati dobar građanin na mreži). Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije.

  Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvršiti vaš Internet provajder (ISP). Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primer, ako ISP obezbedi vezu na IP adresu 15.1.1.0/24, može da konfiguriše filter tako da je dozvoljen samo saobraćaj koji potiče od 15.1.1.0/24 sa tog interfejsa na ruter ISP-a.

Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova učinkovitost će biti mnogo niža od moguće. Osim toga, što ste dalje od uređaja koji se filtriraju, to je teže izvršiti preciznu filtraciju. Na primjer, RFC 2827 filtriranje na nivou pristupnog rutera zahtijeva prolazak cijelog saobraćaja sa glavne mrežne adrese (10.0.0.0/8), dok je na distributivnom nivou (u datoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1.5.0/24).

Najefikasnija metoda za borbu protiv lažiranja IP-a je ista kao i za njuškanje paketa: morate učiniti napad potpuno neefikasnim. IP lažiranje može funkcionirati samo ako je autentifikacija zasnovana na IP adresama.

Stoga, uvođenje dodatnih metoda provjere autentičnosti takve napade čini beskorisnim. Najbolja vrsta dodatne autentifikacije je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.

Uskraćivanje usluge

Uskraćivanje usluge (DoS) je bez sumnje najpoznatiji oblik hakerskih napada. Osim toga, od ovih vrsta napada najteže je stvoriti 100% zaštitu. Među hakerima se DoS napadi smatraju dečjom igrom, a njihova upotreba izaziva prezrivo osmehivanje, jer organizovanje DoS-a zahteva minimum znanja i veština.

Ipak, upravo jednostavnost implementacije i enormni razmjeri prouzrokovane štete DoS privlači veliku pažnju administratora odgovornih za sigurnost mreže. Ako želite saznati više o DoS napadima, trebali biste razmotriti najpoznatije vrste, a to su:

• TCP SYN Flood;
• Ping smrti;
• Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trinity.

Odličan izvor sigurnosnih informacija je Tim za odgovor na hitne računarske situacije (CERT), koji je objavio odličan rad u borbi protiv DoS napada.

DoS napadi se razlikuju od drugih vrsta napada. Oni nemaju za cilj dobivanje pristupa vašoj mreži, niti dobivanje bilo kakvih informacija iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem prihvatljivih ograničenja mreže, operativnog sistema ili aplikacije.

U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo zadržavanje zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internet protokole kao što su TCP i ICMP ( Internet Control Message Protocol).

Većina DoS napada ne cilja na softverske greške ili sigurnosne rupe, već na opšte slabosti u arhitekturi sistema. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa.

Ovu vrstu napada je teško spriječiti jer je potrebna koordinacija s provajderom. Ako kod provajdera ne zaustavite promet koji ima za cilj da preplavi vašu mrežu, tada to više nećete moći učiniti na ulazu u mrežu, jer će sav propusni opseg biti zauzet. Kada se ova vrsta napada izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (distributed DoS, DDoS).

Pretnja od DoS napada može se smanjiti na tri načina:

• Funkcije protiv lažiranja. Ispravno konfiguriranje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. U najmanju ruku, ove karakteristike treba da uključuju RFC 2827 filtriranje Ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će izvršiti napad.
• Anti-DoS funkcije. Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
• Ograničavanje brzine saobraćaja. Organizacija može zatražiti od svog Internet provajdera (ISP) da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje obima ICMP prometa, koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom koristeći različite metode, kao što su napad grube sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti putem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se zove jednostavna pretraga (napad grube sile).

Često takav napad koristi poseban program koji pokušava dobiti pristup javnom resursu (na primjer, serveru). Ako se kao rezultat toga hakeru odobri pristup resursima, tada ga prima s pravima običnog korisnika čija je lozinka odabrana.

Ako ovaj korisnik ima značajne privilegije pristupa, haker može kreirati "pass" za budući pristup koji će ostati važeći čak i ako korisnik promijeni svoju lozinku i login.

Drugi problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sistemima: korporativnim, ličnim i Internet sistemima. Pošto je jačina lozinke jednaka snazi ​​najslabijeg hosta, haker koji nauči lozinku preko tog hosta dobija pristup svim drugim sistemima gde se koristi ista lozinka.

Napadi lozinkom se mogu izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktično eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.).

Najbolje lozinke je teško pogoditi i teško pamtiti, što primorava korisnike da ih zapišu na papir. Da bi to izbjegli, korisnici i administratori mogu koristiti brojna nedavna tehnološka dostignuća.

Na primjer, postoje aplikativni programi koji šifriraju listu lozinki koje se mogu pohraniti u džepni računar. Kao rezultat, korisnik treba da zapamti samo jednu složenu lozinku, dok će sve ostale biti pouzdano zaštićene aplikacijom.

Postoji nekoliko metoda kojima se administrator može boriti protiv pogađanja lozinke. Jedan od njih je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u Windows NT okruženju. Ovaj alat će vam brzo pokazati da li je lozinku koju je korisnik izabrao lako pogoditi. Za više informacija posjetite http://www.l0phtcrack.com/.

Čovjek u sredini napada

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja.

Napadi se sprovode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i dobijanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, izobličenja prenetih podataka i unosa neovlaštenih informacija u mrežne sesije.

Napadi čovjeka u sredini mogu se efikasno suzbiti samo pomoću kriptografije. Ako haker presretne podatke iz šifrovane sesije, ono što će se pojaviti na njegovom ekranu nije presretnuta poruka, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to bi moglo učiniti mogućim napad Man-in-the-Middle čak iu šifriranom okruženju.

Napadi na nivou aplikacije

Napadi na nivou aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti u serverskom softveru (sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računaru kao korisnik koji pokreće aplikaciju (obično ne običan korisnik, već privilegovani administrator sa pravima pristupa sistemu).

Informacije o napadima na nivou aplikacije se široko objavljuju kako bi se administratorima pružila prilika da isprave problem koristeći korektivne module (zakrpe). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.

Glavni problem sa napadima na nivou aplikacije je taj što hakeri često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji iskorištava poznatu slabost web servera će često koristiti port 80 u TCP napadu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

Napadi na razini aplikacije ne mogu se u potpunosti eliminirati. Hakeri neprestano otkrivaju i objavljuju nove propuste u aplikacijskim programima na Internetu. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko mjera koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

• čitanje operativnih sistema i mrežnih log datoteka i/ili analiziranje pomoću posebnih analitičkih aplikacija;
• Pretplatite se na uslugu prijavljivanja ranjivosti aplikacije: Bugtrad (http://www.securityfocus.com).

Mrežna inteligencija

Mrežna inteligencija se odnosi na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje se vrši u obliku DNS upita, pingova i skeniranja portova.

DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Ping adresa koje otkriva DNS omogućava vam da vidite koji hostovi zapravo rade u datom okruženju. Nakon što dobije listu hostova, haker koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.

Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP eho i eho odgovor na rubnim ruterima, riješit ćete se ping testiranja, ali gubite podatke potrebne za dijagnosticiranje grešaka na mreži.

Osim toga, možete skenirati portove bez preliminarnog ping testiranja - samo će vam trebati više vremena, jer ćete morati skenirati nepostojeće IP adrese. IDS sistemi na nivou mreže i hosta obično dobro obavještavaju administratora o tekućem izviđanju mreže, što im omogućava da se bolje pripreme za nadolazeći napad i upozore provajdera usluga (ISP) na čijoj je mreži instaliran sistem koji pokazuje pretjeranu radoznalost. :

1. koristiti najnovije verzije operativnih sistema i aplikacija i najnovije module za korekciju (zakrpe);
2. Osim administracije sistema, koristite sisteme za otkrivanje napada (IDS) - dvije komplementarne ID tehnologije:
   • Mrežni IDS sistem (NIDS) nadgleda sve pakete koji prolaze kroz određeni domen. Kada NIDS sistem vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerovatnog napada, generiše alarm i/ili prekida sesiju;
   • IDS sistem (HIDS) štiti host koristeći softverske agente. Ovaj sistem se bori samo protiv napada na jednog domaćina.

IDS sistemi u svom radu koriste signature napada, koji su profili određenih napada ili vrsta napada. Potpisi definišu uslove pod kojima se saobraćaj smatra hakerskim. Analozi IDS-a u fizičkom svijetu mogu se smatrati sistemom upozorenja ili nadzornom kamerom.

Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Da bi se smanjio broj lažnih alarma i osigurao ispravno funkcionisanje IDS sistema na mreži, neophodna je pažljiva konfiguracija sistema.

Kršenje povjerenja

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zloupotrebe je situacija u perifernom dijelu korporativne mreže.

Ovaj segment često sadrži DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, hakovanje bilo kojeg od njih dovodi do hakovanja svih ostalih, budući da ovi serveri vjeruju drugim sistemima na svojoj mreži.

Drugi primjer je sistem instaliran na vanjskoj strani zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim na unutrašnjoj strani zaštitnog zida. Ako je vanjski sistem kompromitovan, haker može koristiti odnos povjerenja da prodre u sistem zaštićen zaštitnim zidom.

Rizik od povrede povjerenja može se smanjiti strožijom kontrolom nivoa povjerenja unutar vaše mreže. Sistemi koji se nalaze izvan zaštitnog zida nikada ne bi trebali imati apsolutno povjerenje od sistema zaštićenih zaštitnim zidom.

Odnosi povjerenja trebaju biti ograničeni na specifične protokole i, ako je moguće, autentificirani parametrima koji nisu IP adrese.

Port Forwarding

Prosljeđivanje portova je oblik zloupotrebe povjerenja u kojem se kompromitovani host koristi za propuštanje saobraćaja kroz zaštitni zid koji bi inače bio odbijen. Zamislimo zaštitni zid sa tri interfejsa, od kojih je svaki povezan sa određenim hostom.

Eksterni host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutrašnjoj strani zaštitnog zida. Dijeljeni host se može povezati i na interni i na eksterni host. Ako haker preuzme zajednički host, može na njega instalirati softver koji preusmerava saobraćaj sa eksternog hosta direktno na interni.

Iako ovo ne krši nijedno pravilo na ekranu, vanjski host dobiva direktan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti takav pristup je netcat. Više informacija možete pronaći na http://www.avian.org.

Glavni način borbe protiv prosljeđivanja portova je korištenje modela snažnog povjerenja (pogledajte prethodni odjeljak). Osim toga, host IDS sistem (HIDS) može spriječiti hakera da instalira svoj softver na hostu.

Neovlašteni pristup

Neovlašteni pristup se ne može identificirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobijanja neovlaštenog pristupa. Da bi pogodio Telnet login, haker prvo mora dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka “potrebna je autorizacija za korištenje ovog resursa” (“ Za korištenje ovog resursa potrebna je autorizacija.»).

Ako haker nastavi pokušavati pristup nakon ovoga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

Metode za borbu protiv neovlaštenog pristupa su prilično jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sistemu korištenjem neovlaštenog protokola.

Kao primjer, razmotrite sprječavanje hakera da pristupe Telnet portu na serveru koji pruža Web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče firewall-a, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika su vrlo ranjive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubacuju u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji je upisan u datoteku command.com (glavni tumač Windows sistema) i briše druge datoteke, a također inficira sve ostale verzije command.com koje pronađe.

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvari igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra na radnoj stanici korisnika.

Međutim, dok korisnik igra igru, program šalje kopiju sebe putem e-pošte svakom pretplatniku u adresaru tog korisnika. Svi pretplatnici dobijaju igru ​​poštom, što uzrokuje njenu dalju distribuciju.

Borba protiv virusa i trojanskih konja odvija se uz pomoć efikasnog antivirusnog softvera koji radi na nivou korisnika i, eventualno, na nivou mreže. Antivirusni proizvodi otkrivaju većinu virusa i trojanskih konja i zaustavljaju njihovo širenje.

Dobivanje najnovijih informacija o virusima pomoći će vam da se efikasnije borite protiv njih. Kako se pojavljuju novi virusi i trojanski konji, preduzeća moraju instalirati nove verzije antivirusnih alata i aplikacija.

Prilikom pisanja ovog članka korišćeni su materijali koje je obezbedio Cisco Systems.

Dobro Loše