Uzak ağ saldırısı, iletişim kanalları aracılığıyla gerçekleştirilen dağıtılmış bir bilgi işlem sistemi (DCS) üzerinde bilgi yıkıcı bir etkidir.

Uzaktan bir saldırıyı tespit etmenin oldukça zor olması ve gerçekleştirmenin nispeten kolay olması nedeniyle (modern sistemlerin aşırı işlevselliği nedeniyle), bu tür yasa dışı eylemler tehlike açısından ön plana çıkmaktadır. Darbenin niteliğine göre saldırılar pasif ve aktiftir. İlki, RVS'nin çalışması üzerinde doğrudan bir etkisi olmayan, ancak güvenlik politikasını ihlal edebilecek olanları içerir. Tam da sistem üzerinde doğrudan bir etki olmaması nedeniyle böyle bir saldırının tespit edilmesi zordur. RCS üzerindeki aktif bir etki, sistemin çalışması üzerinde doğrudan etkisi olan, performansını bozan, konfigürasyonu değiştiren vb. Aktif bir saldırı türü ile sistemde bazı değişiklikler meydana gelirken, pasif bir etki ile görünürde hiçbir iz kalmaz.

Herhangi bir saldırıda, kural olarak asıl amaç, bilgiye yetkisiz erişim elde etmektir. İki tür bilgi edinimi vardır: müdahale ve çarpıtma. Yakalandığında, bilgi değiştirilme olasılığı olmadan alınır. Verilerin bozulması veya değiştirilmesi, bütünlüklerinin ihlaline yol açar. Böylece, etkinin amacına göre ağ saldırıları, sistemin işleyişini, bilgi kaynaklarının bütünlüğünü veya gizliliğini ihlal eden saldırılara bölünebilir.

Bilgi ve ağ teknolojileri o kadar hızlı gelişiyor ve değişiyor ki, erişim kontrolü ve kimlik doğrulama sistemleri gibi statik güvenlik mekanizmaları çoğu durumda etkin koruma sağlayamıyor. Güvenlik ihlallerinin kısa sürede tespit edilmesini ve önlenmesini sağlayan dinamik yöntemlere ihtiyaç duyulmaktadır. Geleneksel erişim kontrol modelleri kullanılarak tanımlanmayan ihlallerin izlenmesine izin veren böyle bir sistem, izinsiz giriş tespit teknolojisidir.

Saldırı tespiti, ağ veya bilgi işlem kaynaklarına yönelik şüpheli etkinlikleri tanıma ve bunlara yanıt verme sürecidir. Teknolojinin etkinliği büyük ölçüde alınan bilgilerin hangi analiz yöntemlerinin kullanıldığına bağlıdır. Şu anda, istatistiksel yöntemle birlikte, uzman sistemler ve sinir ağları gibi bir dizi yeni teknik kullanılmaktadır. Her yöntemi ayrı ayrı inceleyelim.

İstatistiksel analiz. Bu yaklaşımın iki ana avantajı vardır: kanıtlanmış bir matematiksel istatistik aparatının kullanılması ve konunun davranışına uyarlanması. Bu yöntemi kullanmaya başlarken, analiz edilen sistemin her konusu için profiller belirlenir. Kullanılan profilin standarttan herhangi bir şekilde sapması yetkisiz faaliyet olarak kabul edilir. İstatistiksel yöntemler, olası saldırılar ve sistem açıkları hakkında bilgi gerektirmediğinden evrenseldir. Bununla birlikte, bunları kullanırken bazı zorluklar ortaya çıkabilir, örneğin yetkisiz eylemleri normal olarak kabul edecek şekilde "eğitilebilecekleri" gerçeği. Bu nedenle, istatistiksel analiz ile birlikte ek yöntemler kullanılır.

Uzman sistemler. Bu saldırı tespit yöntemi çok yaygındır. Kullanırken, saldırılarla ilgili bilgiler, genellikle bir dizi eylem veya imza şeklinde yazılan kurallar biçiminde formüle edilir.

Bu kurallardan herhangi birine uyulursa, yetkisiz faaliyetin varlığı hakkında derhal bir karar verilir. Bu yöntemin ana avantajlarından biri, yanlış alarmların neredeyse tamamen olmamasıdır. Uzman sistemlerin her zaman ilgili kalması için, kullanılan veritabanlarının sürekli olarak güncellenmesi gerekir. Bu yöntemin dezavantajı, bilinmeyen saldırıları püskürtmenin imkansızlığıdır. Veritabanından gelen saldırı biraz değiştirilmiş olsa bile, bu zaten tespit edilmesinin önünde ciddi bir engel haline gelebilir.

Nöral ağlar. Bilgisayar korsanlarının ve saldırı seçeneklerinin her geçen gün daha fazla hale gelmesi nedeniyle, uzman sistemler, veritabanlarının sürekli güncellenmesi koşullarında bile, olası her saldırının tam olarak tanımlanmasını garanti edemez. Bu sorunu aşmanın yollarından biri olarak sinir ağları kullanılmaktadır. Sinir ağı bilgileri analiz eder ve verilerin tanıdığı özelliklerle ne kadar tutarlı olduğunu değerlendirme fırsatı sunar. Bunu yapmak için sinir ağı, konu alanından seçilmiş bir örnek örneğini doğru bir şekilde tanımlayacak şekilde eğitilir. Sinir ağının tepkisi analiz edilir, ardından sistem tatmin edici sonuçlar elde edecek şekilde ayarlanır. Sinir ağı verileri analiz ettikçe ek deneyim kazanır.

Sinir ağlarının önemli avantajlarından biri, incelenenlere benzer olmayan unsurları belirleyerek saldırıların özelliklerini dikkate alma yetenekleridir.

Bu izinsiz giriş tespit yöntemlerinin dezavantajları olduğundan, daha güvenilir koruma sağlamak için genellikle birlikte kullanılırlar.

Bilgisayarınızın güvenliğini sağlamak için hangi ağ saldırılarının bilgisayarınızı tehdit edebileceğini bilmeniz gerekir. Bilinen tüm tehditler üç gruba ayrılabilir:

bağlantı noktası taraması- bu tehditler kendi başlarına bir saldırı değildir, ancak kural olarak ondan önce gelirler, çünkü bu, uzak bir bilgisayar hakkında bilgi almanın yollarından biridir. Bu yöntemin özü, durumlarını belirlemek için istenen bilgisayardaki ağ hizmetleri tarafından kullanılan UDP / TCP bağlantı noktalarını taramaktır. Böyle bir süreç, belirli bir sisteme yapılan hangi saldırıların başarılı olabileceğini ve hangilerinin olamayacağını anlamaya yardımcı olur. Ayrıca tarama, saldırgana işletim sistemi hakkında gerekli bilgileri sağlar ve bu da onun daha da uygun saldırı türlerini seçmesine olanak tanır.

DOS- saldırılar- "hizmet reddi" olarak da bilinirler. Bunlar, saldırıya uğrayan sistemin kararsız veya tamamen çalışmaz bir duruma gelmesinin bir sonucu olarak bu tür saldırılardır. Sonuçları arasında bilgi kaynaklarının hasar görmesi veya yok edilmesi ve bunların kullanılamaması yer alabilir.

DOS saldırıları iki tiptir. :

- kurban bilgisayara, sistemin yeniden başlatılmasına veya kapanmasına yol açan özel hazırlanmış paketler gönderilir

- kurban bilgisayara birim zamanda çok sayıda paket gönderilir, bunların işlenmesiyle baş edemez. Sonuç, sistem kaynaklarının tükenmesidir.

İstila saldırıları. Amaçları sistemi "ele geçirmek". Bu tür saldırılar en tehlikelisidir, çünkü başarılı bir şekilde yürütülürlerse, saldırgan sistem hakkında en eksiksiz bilgileri elde eder.İzinsiz giriş saldırıları, parolalar gibi uzak bir bilgisayardan gizli verilerin alınmasına ihtiyaç duyulan durumlarda kullanılır. ve kredi kartlarına erişim. Ayrıca, bu tür saldırıların amacı, daha sonra bilgi işlem kaynaklarını saldırganın amaçları doğrultusunda kullanmak için sistemde sabitleme olabilir. Bu grup en fazla sayıda saldırı içerir.

İşletim sisteminin ağ hizmetlerini kullanan daha yaygın saldırı türleri:

— Arabellek taşması saldırıları. Veri dizileriyle çalışırken kontrol önlemlerinin olmaması veya yetersiz olması nedeniyle oluşan yazılımdaki bu tür güvenlik açıkları.

— Biçim dizisi hatalarına dayalı saldırılar. Bu tip, format G/Ç fonksiyonlarının giriş parametrelerinin değerleri üzerinde yetersiz kontrolden kaynaklanır. Böyle bir güvenlik açığının yazılımda olması durumunda, saldırgan sistem üzerinde mutlak kontrol sahibi olabilir.

Kişisel bilgisayarınızı (PC) ağ saldırılarından korumak için, yüksek kaliteli bir antivirüsün yanı sıra FireWall adlı bir defans programı yüklemeniz gerekir. Bu program ağ üzerinden gelen ve giden her şeyi kontrol eder, bilgisayarınızı ağdan gelebilecek saldırılara ve saldırılara karşı korur ve ayrıca kişisel bilgilerin iletilmesini engeller. FireWall, yukarıda belirtilen bağlantı noktası tarama sorununu çözer: yazılım, tüm bağlantı noktalarını kapatarak bilgisayarı ağ üzerinde görünmez hale getirir. Ayrıca bu program, sisteme Trojan virüsleri bulaşmış olsa bile (amacı yalnızca gizli bilgileri çalmak olan) kişisel verilerin ağa girmesine izin vermez. Bilgisayarınızda bir suçlunun ihtiyaç duyabileceği hiçbir şey olmadığını düşünseniz bile, yukarıdaki yazılımın kurulumunu ihmal etmemelisiniz, çünkü bir saldırıdan sonra bilgisayarınız bir bilgisayar korsanı tarafından diğer makinelere saldırmak veya onları hacklemek için kullanılabilir.

Ağ üzerinden uygulanan tehditler aşağıdaki ana özelliklere göre sınıflandırılır:

1. tehdidin doğası.

   Pasif - bilgi sisteminin çalışmasını etkilemeyen ancak korunan bilgilere erişim kurallarını ihlal edebilecek bir tehdit. Örnek: ağı "dinlemek" için bir dinleyici kullanmak. Aktif - uygulanması sistemin çalışması üzerinde doğrudan etkisi olan bilgi sisteminin bileşenlerini etkileyen bir tehdit. Örnek: TCP istekleri ile bir fırtına şeklinde DDOS saldırısı.

2. tehdidin amacı(sırasıyla, bilgilerin gizliliği, kullanılabilirliği, bütünlüğü).
3. saldırı başlangıç ​​koşulu:
   • saldırganın isteği üzerine. Diğer bir deyişle, saldırgan, UA'nın başlaması için koşul olacak olan belirli bir türde bir talebin iletilmesini bekler.
   • Saldırıya uğrayan nesnede beklenen olayın meydana gelmesi üzerine.
   • koşulsuz etki - saldırgan hiçbir şey beklemiyor, yani tehdit anında ve saldırıya uğrayan nesnenin durumuna bakılmaksızın gerçekleştirilir.
4. geri bildirim saldırıya uğrayan nesne ile:
   • geri bildirim ile, yani bazı istekler için saldırganın yanıt alması gerekir. Böylece, saldıran ile saldırgan arasında, saldırganın saldırıya uğrayan nesnenin durumunu izlemesine ve değişikliklerine yeterince yanıt vermesine olanak tanıyan bir geri bildirim vardır.
   • geri bildirim olmadan - buna göre, geri bildirim yoktur ve saldırganın saldırıya uğrayan nesnedeki değişikliklere yanıt vermesi gerekmez.
5. saldırganın saldırıya uğrayan bilgi sistemine göre konumu: bölümler arası ve bölümler arası. Bir ağ kesimi, bir ağ adresi olan ana bilgisayarların, donanımın ve diğer ağ bileşenlerinin fiziksel bir ilişkisidir. Örneğin, bir segment, Token Ring tabanlı ortak bir veri yoluna bağlı bilgisayarlar tarafından oluşturulur.
6. tehdidin uygulandığı ISO/OSI referans modelinin düzeyi: fiziksel, kanal, ağ, taşıma, oturum, temsilci, uygulamalı.

Şunlara dayalı ağlardaki en yaygın saldırıları göz önünde bulundurun: protokol yığını TCP/IP.

1. Ağ trafiği analizi. Bu saldırı, sniffer adlı özel bir program kullanılarak gerçekleştirilir. Sniffer, ağ kartının, kime adreslendiklerine bakılmaksızın tüm paketlerin alınmasına izin verdiği "karışık" mod olarak adlandırılan karışık modda çalışan bir ağ kartı kullanan bir uygulamadır. Normal durumda, Ethernet arabirimi bağlantı katmanı paket filtreleme kullanır ve alınan paketin hedef başlığındaki MAC adresi mevcut paketin MAC adresiyle eşleşmiyorsa ağ Arayüzü ve yayınlanmaz, ardından paket bırakılır. "Karışık" modda, filtreleme ağ Arayüzü devre dışı bırakılır ve mevcut ana bilgisayar için tasarlanmamış olanlar da dahil olmak üzere tüm paketlerin sisteme girmesine izin verilir. Bu programların birçoğunun, örneğin sorun giderme veya trafik analizi gibi yasal amaçlarla kullanıldığına dikkat edilmelidir. Bununla birlikte, yukarıda incelediğimiz tablo, şifreler de dahil olmak üzere bilgileri düz metin olarak gönderen protokolleri listeler - FTP, SMTP, POP3, vb. Böylece, bir sniffer kullanarak adı ve şifreyi ele geçirebilir ve gizli bilgilere yetkisiz erişim sağlayabilirsiniz. Ayrıca, birçok kullanıcı birçok ağ hizmetine erişmek için aynı parolaları kullanır. Yani, ağda bir yerde zayıf kimlik doğrulama şeklinde bir zayıflık varsa, tüm ağ zarar görebilir. Saldırganlar, insan zayıflıklarının gayet iyi farkındadır ve yaygın olarak sosyal mühendislik yöntemlerini kullanır.

   Bu tür saldırılara karşı koruma şu şekilde olabilir:

   • Güçlü Kimlik Doğrulama, örneğin, kullanarak tek seferlik şifreler(Tek seferlik şifre). Sonuç olarak, parola bir kez kullanılabilir ve bir saldırgan onu bir sniffer kullanarak yakalasa bile hiçbir değeri yoktur. Tabii ki, bu koruma mekanizması yalnızca şifrelerin ele geçirilmesinden tasarruf sağlar ve e-posta gibi diğer bilgilerin ele geçirilmesi durumunda işe yaramaz.
   • Anti-sniffer'lar, bir ağ segmentinde bir sniffer'ın çalışmasını algılayabilen donanım veya yazılım araçlarıdır. Kural olarak, "ekstra" yükü belirlemek için ağ düğümlerindeki yükü kontrol ederler.
   • anahtarlamalı altyapı Ağ trafiği analizinin yalnızca bir ağ segmentinde mümkün olduğu açıktır. Ağ, onu birçok bölüme (anahtarlar ve yönlendiriciler) bölen cihazlar üzerine kuruluysa, ağın yalnızca bu cihazların bağlantı noktalarından birine ait olan bölümlerinde bir saldırı mümkündür. Bu, koklama sorununu çözmez, ancak bir saldırganın "dinleyebileceği" sınırları azaltır.
   • kriptografik yöntemler. Sniffer çalışmasıyla başa çıkmanın en güvenilir yolu. Müdahale yoluyla elde edilebilecek bilgiler şifrelenir ve bu nedenle kullanılmaz. En sık kullanılanlar IPSec, SSL ve SSH'dir.
2. Ağ Taraması.Ağ taramasının amacı, ağ üzerinde çalışan hizmetleri, açık portları, aktif ağ hizmetleri, kullanılan protokoller vb., yani ağ hakkında bilgi toplanması. Ağ taraması için en sık kullanılanlar şunlardır:
   • DNS sorguları, bir saldırganın bir etki alanının sahibini, adres alanını,
   • ping - daha önce alınan DNS adreslerine göre canlı ana bilgisayarları tanımlar;
   • port taraması - bu ana bilgisayarlar tarafından desteklenen hizmetlerin tam listesi derlenir, açık portlar, uygulamalar vb.

   İyi ve en yaygın karşı önlem, devam eden bir ağ taramasının işaretlerini başarıyla bulan ve bunu yöneticiye bildiren bir IDS kullanmaktır. Bu tehditten tamamen kurtulmak imkansızdır, çünkü örneğin, yönlendiricide ICMP yankı ve yankı yanıtını devre dışı bırakırsanız, ping tehdidinden kurtulabilirsiniz, ancak aynı zamanda ağ arızalarını teşhis etmek için gerekli verileri kaybedebilirsiniz. .

3. Şifre Gösterimi.Bu saldırının temel amacı, parola korumasını aşarak korunan kaynaklara yetkisiz erişim elde etmektir. Bir saldırgan parola almak için birçok yöntem kullanabilir - basit numaralandırma, sözlük arama, koklama vb. En yaygın olanı, tüm olası parola değerlerinin basit bir şekilde numaralandırılmasıdır. Basit numaralandırmaya karşı korunmak için, tahmin edilmesi kolay olmayan güçlü parolalar kullanmak gerekir: 6-8 karakter uzunluğunda, büyük ve küçük harflerin kullanımı, özel karakterlerin (@, #, $, vb.) kullanımı.

   Bilgi güvenliğinin bir başka sorunu da çoğu kişinin tüm hizmetler, uygulamalar, siteler vb. için aynı parolaları kullanmasıdır. Aynı zamanda bir parolanın güvenlik açığı, kullanımının en zayıf kısmına bağlıdır.

   Bu tür bir saldırı, daha önce bahsettiğimiz tek seferlik parolalar veya kriptografik kimlik doğrulama kullanılarak önlenebilir.

4. IP sızdırma veya güvenilir bir ağ nesnesini sızdırma.Bu durumda güvenilir nesne, sunucuya yasal olarak bağlı bir ağ nesnesidir (bilgisayar, yönlendirici, güvenlik duvarı vb.). Tehdit, bir saldırganın güvenilir bir ağ nesnesi gibi davranmasında yatmaktadır. Bu iki şekilde yapılabilir. İlk olarak, yetkili IP adresleri aralığında olan bir IP adresi veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adres kullanın. Bu saldırı türü genellikle diğer saldırıların başlangıç ​​noktasıdır.

   Tipik olarak, güvenilir bir ağ nesnesini yanıltmak, ağ nesneleri arasında iletilen normal veri akışına yanlış bilgi veya kötü amaçlı komutlar eklemekle sınırlıdır. İki yönlü iletişim için, bir saldırganın trafiği sahte bir IP adresine yönlendirmek için tüm yönlendirme tablolarını değiştirmesi gerekir ki bu da mümkündür. Tehdidi azaltmak (ancak ortadan kaldırmak değil) için aşağıdakileri kullanabilirsiniz:

   • giriş kontrolu. Ağ içinde bir kaynak adresi olan harici bir ağdan gelen trafiği kesmek için erişim kontrolünü yapılandırabilirsiniz. Bu yöntem, yalnızca dahili adresler yetkilendirildiyse geçerlidir ve yetkili harici adresler varsa başarısız olur.
   • RFC 2827 filtreleme - bu tür filtreleme, ağınızın kullanıcılarının yabancı ağları yanıltmasını engellemenizi sağlar. Bunu yapmak için, kaynak adresi kuruluşunuzun IP adreslerinden biri olmayan herhangi bir giden trafiği reddetmeniz gerekir. Genellikle bu tür filtreleme sağlayıcı tarafından gerçekleştirilir. Sonuç olarak, belirli bir arayüzde beklenen bir kaynak adresi olmayan tüm trafik reddedilir. Örneğin, bir ISP, 15.1.1.0/24 IP adresine bir bağlantı sağlıyorsa, filtreyi, o arabirimden ISP yönlendiricisine yalnızca 15.1.1.0/24'ten gelen trafiğe izin verecek şekilde yapılandırabilir. Tüm sağlayıcılar bu tür filtreleme uygulayana kadar etkinliğinin mümkün olandan çok daha düşük olacağını unutmayın.
   • Ek kimlik doğrulama yöntemlerinin uygulanması. IP sahtekarlığı yalnızca IP tabanlı kimlik doğrulama ile mümkündür. Kriptografik olanlar gibi bazı ek kimlik doğrulama önlemleri getirilirse, saldırı işe yaramaz hale gelir.
5. Hizmet Reddi veya Hizmet Reddi (DoS)- bir bilgi işlem sistemine, onu başarısızlığa uğratmak amacıyla yapılan bir saldırı, yani sistemin meşru kullanıcılarının sistem tarafından sağlanan kaynaklara erişemeyeceği veya bu erişimin zor olduğu koşulların yaratılması.

   DoS saldırısı, öncelikle uygulama kolaylığı nedeniyle son zamanlarda en yaygın ve bilinen saldırıdır. Bir DOS saldırısının organizasyonu, minimum bilgi ve beceri gerektirir ve ağ yazılımı ve ağ protokollerinin eksikliklerine dayanır. Saldırı birçok ağ cihazı için gerçekleştiriliyorsa, dağıtılmış bir DoS saldırısından (DDoS - dağıtılmış DoS) söz ederler.

   Aşağıdaki beş tür DoS saldırısı günümüzde en yaygın şekilde kullanılmaktadır ve bunlar için çok sayıda yazılım mevcuttur ve bunlara karşı savunulması en zor olanlardır:

   • Şirin- ICMP ping istekleri. Bir yayın adresine (örneğin, 10.255.255.255) bir ping paketi (bir ICMP ECHO mesajı) gönderildiğinde, o ağdaki her makineye teslim edilir. Saldırının ilkesi, saldırılan ana bilgisayarın kaynak adresiyle birlikte bir ICMP ECHO REQUEST paketi göndermektir. Bir saldırgan, bir ağ yayın adresine sürekli bir ping paketleri akışı gönderir. Tüm makineler, talebi aldıktan sonra kaynağa bir ICMP ECHO REPLY paketi ile yanıt verir. Buna göre yanıt paket akışının boyutu, ana bilgisayar sayısıyla orantılı olarak artar. Sonuç olarak, tüm ağ tıkanıklık nedeniyle hizmet reddine tabidir.
   • ICMP sel- Smurf'e benzer bir saldırı, yalnızca yönlendirilen yayın adresine yapılan istekler tarafından oluşturulan güçlendirme olmadan.
   • UDP seli- saldırıya uğrayan ana bilgisayarın adresine çok sayıda UDP (Kullanıcı Datagram Protokolü) paketi göndermek.
   • TCP seli- saldırıya uğrayan ana bilgisayarın adresine çok sayıda TCP paketi göndermek.
   • TCP SYN taşması- bu tür bir saldırı gerçekleştirilirken, saldırıya uğrayan düğümle TCP bağlantılarını başlatmak için çok sayıda istek gönderilir ve sonuç olarak tüm kaynaklarını bu kısmen açık bağlantıları izlemeye harcamak zorunda kalır.

   Bir Web sunucusu veya FTP sunucusu uygulaması kullanılıyorsa, bir DoS saldırısı bu uygulamalar için mevcut olan tüm bağlantıların meşgul olmasına ve kullanıcıların bunlara erişememesine neden olur. Bazı saldırılar, gereksiz paketlerle doldurarak tüm ağı ortadan kaldırabilir. Bu tür saldırılara karşı koymak için, sağlayıcının katılımı gereklidir, çünkü ağ girişindeki istenmeyen trafiği durdurmazsa, bant genişliği meşgul olacağından saldırı durdurulamaz.

   Bir DoS saldırısı uygulamak için en yaygın olarak aşağıdaki programlar kullanılır:

   • Trinoo- tarihsel olarak tek bir türde - UDP-sel - DoS saldırıları düzenleyen ilk kişi olan oldukça ilkel bir programdır. "Trinoo" ailesinin programları, standart güvenlik araçları tarafından kolayca tespit edilir ve güvenliğine biraz olsun önem verenler için bir tehdit oluşturmaz.
   • TFN ve TFN2K- daha ciddi bir silah. Smurf, UDP flood, ICMP flood ve TCP SYN flood gibi çeşitli türlerde saldırıları aynı anda organize etmenize olanak tanırlar. Bu programların kullanımı, saldırgandan çok daha yüksek bir beceri gerektirir.
   • DoS saldırılarını düzenlemek için en son araç - Stacheldracht("dikenli tel"). Bu paket, çeşitli türlerde saldırılar ve bir dizi yayın ping isteği düzenlemenize olanak tanır. Ek olarak, denetleyiciler ve aracılar arasındaki iletişim şifrelenir ve yazılımın kendisinde bir otomatik değiştirme işlevi bulunur. Şifreleme, bir saldırganın tespit edilmesini çok zorlaştırır.

   Tehdidi azaltmak için aşağıdakileri kullanabilirsiniz:

   • Kimlik sahtekarlığına karşı koruma özellikleri - Yönlendiricilerinizdeki ve güvenlik duvarlarınızdaki kimlik sahtekarlığına karşı koruma özelliklerini doğru bir şekilde yapılandırmak, DoS riskini azaltmaya yardımcı olacaktır. Bu özellikler en azından RFC 2827 filtreleme içermelidir.Bir bilgisayar korsanı gerçek kimliğini gizleyemediği sürece bir saldırı girişiminde bulunma olasılığı düşüktür.
   • Anti-DoS İşlevleri - Yönlendiriciler ve güvenlik duvarlarında anti-DoS işlevlerinin uygun şekilde yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu özellikler genellikle herhangi bir zamanda yarı açık kanalların sayısını sınırlar.
   • Trafik hızı sınırlaması - Bir kuruluş, bir ISP'den trafik miktarını sınırlamasını isteyebilir. Bu tür filtreleme, ağınızdan geçen kritik olmayan trafik miktarını sınırlamanıza olanak tanır. Yaygın bir örnek, yalnızca teşhis amacıyla kullanılan ICMP trafik sınırlamasıdır. DoS saldırıları genellikle ICMP kullanır.

   Bu türden birkaç tehdit türü vardır:

   • Ağ kaynaklarının bir kısmı, kanal bant genişliğinde azalma, istek işleme süresinin ihlali ve ağ cihazlarının performansının ihlali ile bir saldırgan tarafından iletilen paketleri işlemek için kullanıldığında gizli bir hizmet reddi. Örnek: yönlendirilmiş ICMP yankı isteği fırtınası veya TCP bağlantı isteği fırtınası.
   • Saldırganlar tarafından gönderilen paketlerin işlenmesi sonucunda ağ kaynaklarının tükenmesinden kaynaklanan açık bir hizmet reddi. Aynı zamanda, kanalın tüm bant genişliğinin meşgul olması, arabelleklerin dolu olması, disk alanının dolu olması vb. nedenlerle meşru kullanıcı istekleri işlenemez. Örnek: yönlendirilmiş fırtına (SYN-sel).
   • Bir saldırgan ağ cihazları adına kontrol mesajları gönderdiğinde, ağın teknik araçları arasındaki mantıksal bağlantının ihlalinden kaynaklanan açık bir hizmet reddi. Bu, yönlendirme verilerini değiştirir. Örnek: ICMP Yeniden Yönlendirme Ana Bilgisayarı veya DNS taşması.
   • Bir saldırganın standart olmayan niteliklere sahip (UDP bombası gibi) veya maksimum uzunluğu aşan (Ping Ölümü) paketler iletmesi nedeniyle açık bir hizmet reddi.

   DoS saldırıları, bilgilerin kullanılabilirliğini bozmayı amaçlar ve bütünlüğü ve gizliliği ihlal etmez.

6. Uygulama katmanı saldırıları. Bu tür bir saldırı, sunucu yazılımındaki (HTML, sendmail, FTP) "boşlukların" kullanılmasından oluşur. Bir saldırgan, bu güvenlik açıklarını kullanarak bir uygulama kullanıcısı adına bir bilgisayara erişim elde eder. Uygulama katmanı saldırıları genellikle güvenlik duvarından "geçebilen" bağlantı noktalarını kullanır.

   Uygulama katmanı saldırılarıyla ilgili temel sorun, genellikle güvenlik duvarından geçmesine izin verilen bağlantı noktalarını kullanmalarıdır. Örneğin, bir Web sunucusuna saldıran bir bilgisayar korsanı 80 numaralı TCP bağlantı noktasını kullanabilir. Web sunucusunun kullanıcılara sayfa sunabilmesi için güvenlik duvarında 80 numaralı bağlantı noktasının açık olması gerekir. Güvenlik duvarının bakış açısından, saldırı 80 numaralı bağlantı noktasında standart trafik olarak değerlendirilir.

   Uygulama katmanı saldırılarını tamamen ortadan kaldırmak, sürekli olarak yeni güvenlik açıklarına sahip uygulamalar ortaya çıktığı için mümkün değildir. Buradaki en önemli şey iyi bir sistem yönetimidir. Bu tür saldırılara karşı savunmasızlığınızı azaltmak için atabileceğiniz bazı adımlar şunlardır:

   • günlükleri okuma (sistem ve ağ);
   • http://www.cert.com gibi özel siteleri kullanarak yeni yazılımlardaki güvenlik açıklarını izleme.
   • IDS'nin kullanımı.

Bir ağ saldırısının doğası gereği, oluşumunun her bir ağ düğümü tarafından kontrol edilmediği açıktır. Ağda mümkün olan tüm saldırıları dikkate almadık - pratikte çok daha fazlası var. Ancak her türlü saldırıya karşı korunmak mümkün değildir. Ağ çevresini korumaya yönelik en uygun yaklaşım, çoğu kötü amaçlı saldırıda kullanılan güvenlik açıklarını ortadan kaldırmaktır. Bu tür güvenlik açıklarının listeleri, bu tür istatistikleri toplayan birçok sitede, örneğin SANS Enstitüsü'nün sitesinde yayınlanır: http://www.sans.org/top-cyber-security-risks/?ref=top20 . Sıradan bir saldırgan, saldırmak için herhangi bir orijinal yol aramaz, bilinen bir güvenlik açığı bulmak için ağı tarar ve kullanır.

Bilgisayarların, işletim sistemlerinin ve ağ ekipmanlarının çok çeşitli farklı konfigürasyonları vardır, ancak bu, küresel ağa erişmenin önünde bir engel oluşturmaz. Bu durum, İnternet üzerinden veri iletimi için belirli standartlar ve kurallar belirleyen evrensel ağ protokolü TCP / IP sayesinde mümkün olmuştur. Ne yazık ki, bu çok yönlülük, bu protokolü kullanan bilgisayarları dış etkilere karşı savunmasız bırakmıştır ve TCP/IP protokolü internete bağlı tüm bilgisayarlarda kullanıldığından, saldırganların diğer insanların makinelerine bireysel erişim yolları geliştirmesine gerek yoktur.

Ağ saldırısı, uzak bir bilgisayarı yazılım yöntemleri kullanarak etkileme girişimidir. Kural olarak, bir ağ saldırısının amacı verilerin gizliliğini ihlal etmektir, yani bilgi çalmaktır. Ayrıca, başka birinin bilgisayarına erişmek ve ardından orada bulunan dosyaları değiştirmek için ağ saldırıları gerçekleştirilir.

Ağ saldırılarının birkaç sınıflandırma türü vardır. Bunlardan biri etkileme ilkesidir. Pasif ağ saldırıları, uzaktaki bir bilgisayardan gizli bilgiler elde etmeyi amaçlar. Bu tür saldırılar, örneğin, gelen ve giden e-posta mesajlarının okunmasını içerir. Aktif ağ saldırılarına gelince, görevleri yalnızca belirli bilgilere erişim değil, aynı zamanda bunların değiştirilmesidir. Bu tür saldırılar arasındaki en önemli farklardan biri, aktif bir saldırının sonuçları genellikle fark edilirken, pasif girişimi tespit etmenin neredeyse imkansız olmasıdır.

Ek olarak, saldırılar hangi görevleri yerine getirdiklerine göre sınıflandırılır. Ana görevler arasında, kural olarak, bilgisayar ihlalleri, bilgilere yetkisiz erişim ve bilgisayarda depolanan verilerin gizli değiştirilmesi vardır. Örneğin, günlüklerdeki notları değiştirmek için bir okul sunucusuna girmek, üçüncü türden bir aktif ağ saldırısıdır.

Koruma teknolojileri

Ağ saldırılarına karşı koruma yöntemleri sürekli olarak geliştirilmekte ve iyileştirilmektedir, ancak hiçbiri tam bir garanti vermemektedir. Gerçek şu ki, herhangi bir statik savunmanın zayıf yönleri vardır, çünkü kendinizi her şeyden aynı anda korumak imkansızdır. İstatistiksel, uzman, bulanık mantık koruması ve sinir ağları gibi dinamik koruma yöntemlerine gelince, bunların da zayıf yönleri vardır, çünkü esas olarak şüpheli eylemlerin analizine ve bunların bilinen ağ saldırı yöntemleriyle karşılaştırılmasına dayanırlar. Sonuç olarak, bilinmeyen saldırı türlerinden önce çoğu savunma sistemi pes eder ve işgali çok geç püskürtmeye başlar. Bununla birlikte, modern güvenlik sistemleri, bir saldırganın verilere erişmesini o kadar zorlaştırıyor ki, başka bir kurban aramak daha mantıklı.

Hâlâ "saldırı" (istila, saldırı) teriminin kesin bir tanımı yoktur. Her güvenlik uzmanı bunu farklı şekilde yorumlar. Aşağıdaki tanımın en doğru ve eksiksiz olduğunu düşünüyorum.

Saldırı bilgi sistemindeki güvenlik açıklarını kullanan ve işlenmekte olan bilgilerin kullanılabilirliğini, bütünlüğünü ve gizliliğini ihlal eden bir saldırganın kasıtlı eylemleridir.

Bilgi sisteminin güvenlik açıklarını ortadan kaldıralım - ayrıca saldırı gerçekleştirme olasılığını da ortadan kaldıracağız.

Bugüne kadar, kaç tane saldırı yönteminin olduğu bilinmiyor. Bu alanda hala ciddi matematiksel çalışmaların olmadığını söylüyorlar. Ancak 1996'da Fred Cohen, virüs teknolojisinin matematiksel temellerini açıkladı. Bu çalışmada virüs sayısının sonsuz olduğu kanıtlanmıştır. Açıkçası, saldırıların sayısı da sonsuzdur, çünkü virüsler birçok saldırının bir alt kümesidir.

Saldırı modelleri

Geleneksel saldırı modeli(Şek. 1) veya (Şek. 2) prensibine göre inşa edilmiştir, yani. saldırı tek bir kaynaktan gelir. Ağ koruma araçlarının (güvenlik duvarları, izinsiz giriş tespit sistemleri vb.) geliştiricileri, geleneksel saldırı modeline odaklanır. Korunan ağın çeşitli noktalarında, bilgileri merkezi yönetim konsoluna ileten koruma sisteminin aracıları (sensörleri) kurulur. Bu, sistem ölçeklendirmeyi, uzaktan yönetim kolaylığını vb. kolaylaştırır. Bununla birlikte, böyle bir model nispeten yakın zamanda (1998'de) keşfedilen tehdit dağıtılmış saldırılarla baş edemez.
Şekil 1. Bire bir ilişki

Dağıtılmış saldırı modeli farklı ilkeler kullanır. Geleneksel modelin aksine dağıtılmış bir modelde(Şekil 3) ve (Şekil 4) ilişkileri kullanılır.

Dağıtılmış saldırılar, "klasik" hizmet reddi saldırılarına veya daha doğrusu bunların "klasik" olarak bilinen bir alt kümesine dayanır. Sel saldırıları veya Fırtına saldırıları(bu terimler "fırtına", "sel" veya "çığ" olarak çevrilebilir). Bu saldırıların anlamı, saldırılan ana bilgisayara çok sayıda paket göndermektir. Saldırıya uğrayan düğüm, gönderilen paketler arasında "boğulacağı" ve yetkili kullanıcılardan gelen istekleri işleme koyamayacağı için başarısız olabilir. SYN-Flood, Smurf, UDP Flood, Targa3 saldırıları vb. saldırılar bu prensibe göre çalışır. Ancak, saldırıya uğrayan düğüme giden kanalın bant genişliği saldırganın bant genişliğini aşarsa veya saldırıya uğrayan düğüm yanlış yapılandırılmışsa, böyle bir saldırı "başarıya" yol açmaz. Örneğin, sağlayıcınızın performansını kırmaya çalışmak için bu saldırıları kullanmak faydasızdır. Ancak, dağıtılmış bir saldırı artık İnternet'teki bir noktadan değil, aynı anda birkaç noktadan gerçekleşir, bu da trafikte keskin bir artışa ve saldırıya uğrayan düğümün iş göremez hale gelmesine yol açar. Örneğin, Russia-Online'a göre, 28 Aralık 2000 sabah saat 9:00'dan başlayarak iki gün boyunca Ermenistan'ın en büyük İnternet sağlayıcısı "Arminco" dağıtılmış bir saldırıya maruz kaldı. Bu durumda farklı ülkelerden 50'den fazla makine saldırıya katılarak Arminco'nun adresine anlamsız mesajlar gönderdi. Bu saldırıyı kimin organize ettiğini ve bilgisayar korsanının hangi ülkede olduğunu tespit etmek imkansızdı. Arminco esas olarak saldırıya uğramasına rağmen, Ermenistan'ı World Wide Web'e bağlayan tüm otoyolun aşırı yüklendiği ortaya çıktı. 30 Aralık'ta "Arminco" ve başka bir sağlayıcı olan "ArmenTel"in işbirliği sayesinde bağlantı tamamen yeniden sağlandı. Buna rağmen bilgisayar saldırısı daha az yoğunlukla devam etti.

Saldırı uygulama aşamaları

Saldırı uygulamasının aşağıdaki aşamaları ayırt edilebilir:

Genellikle bir saldırı hakkında konuştuklarında, birinci ve sonuncuyu unutarak tam olarak ikinci aşamayı kastederler. Bilgilerin toplanması ve saldırının tamamlanması ("izlerin kapatılması") da bir saldırı olabilir ve üç aşamaya ayrılabilir (bkz. Şekil 5).
Şekil 5. Saldırı uygulama aşamaları

Bilgi toplama, saldırının uygulanmasındaki ana aşamadır. Bu aşamada, saldırganın çalışmasının etkinliği, saldırının "başarısının" anahtarıdır. İlk olarak, saldırının hedefi seçilir ve bununla ilgili bilgiler toplanır (işletim sisteminin türü ve sürümü, açık portlar ve çalışan ağ hizmetleri, kurulu sistem ve uygulama yazılımı ve yapılandırması vb.). Ardından, saldırıya uğrayan sistemin en savunmasız yerleri belirlenir ve bu, saldırganın istediği sonuca yol açar. Saldırgan, saldırı hedefinin diğer düğümlerle tüm etkileşim kanallarını ortaya çıkarmaya çalışır. Bu, yalnızca uygulanan saldırı türünü değil, aynı zamanda uygulama kaynağını da seçmeye izin verecektir. Örneğin, saldırıya uğrayan düğüm, Unix ve Windows NT çalıştıran iki sunucuyla etkileşime girer. Saldırıya uğrayan düğümün bir sunucuyla güvenilir bir ilişkisi var, ancak diğeriyle değil. Saldırganın saldırıyı uygulayacağı sunucu, hangi saldırının kullanılacağına, hangi uygulama araçlarının seçileceğine vb. bağlıdır. Daha sonra alınan bilgiye ve istenilen sonuca göre en büyük etkiyi veren saldırı seçilir. Örneğin:
SYN Flood, Teardrop, UDP Bomb - düğümün çalışmasını bozmak için;
CGI betiği - bir düğüme sızmak ve bilgi çalmak için;
PHF - parola dosyasını çalmak ve uzaktan parola tahmin etmek vb. için.

Güvenlik duvarları veya yönlendiricilerdeki filtreleme mekanizmaları gibi geleneksel savunmalar, saldırının yalnızca ikinci aşamasında devreye girerek birinci ve üçüncü aşamayı tamamen "unutur". Bu, güçlü ve pahalı koruma araçlarıyla bile sık sık yapılan bir saldırıyı durdurmanın çok zor olduğu gerçeğine yol açar. Bunun bir örneği dağıtılmış saldırılardır. Koruma araçlarının ilk aşamada çalışmaya başlaması mantıklı olacaktır, yani. saldırıya uğrayan sistem hakkında bilgi toplama olasılığını engelleyecektir. Bu, saldırıyı tamamen önlemese bile, en azından saldırganın işini önemli ölçüde karmaşıklaştırmayı mümkün kılar. Geleneksel araçlar, halihazırda gerçekleştirilmiş saldırıların tespit edilmesine ve bunların uygulanmasından sonra hasarın değerlendirilmesine de izin vermez, örn. saldırı uygulamasının üçüncü aşamasında çalışmaz. Bu nedenle, gelecekte bu tür saldırıları önlemek için önlemler tanımlamak mümkün değildir.

Saldırgan, istenen sonuca bağlı olarak saldırının bir veya başka aşamasına odaklanır. Örneğin:
hizmet reddi için, saldırıya uğrayan ağ ayrıntılı olarak analiz edilir, içindeki boşluklar ve zayıflıklar aranır;
bilgi çalmak için, önceden keşfedilen güvenlik açıklarını kullanarak saldırıya uğrayan düğümlere gizlice sızmaya odaklanılır.

Saldırıları uygulamak için ana mekanizmaları düşünün. Bu, bu saldırıları tespit etme yöntemlerini anlamak için gereklidir. Ek olarak, saldırganların eylemlerinin ilkelerini anlamak, başarılı ağ savunmasının anahtarıdır.

1. Bilgi toplama

Saldırıların uygulanmasındaki ilk aşama, saldırıya uğrayan sistem veya ana bilgisayar hakkında bilgi toplanmasıdır. Ağ topolojisini, saldırıya uğrayan düğümün işletim sisteminin türünü ve sürümünü ve ayrıca kullanılabilir ağ ve diğer hizmetleri vb. belirleme gibi eylemleri içerir. Bu eylemler çeşitli şekillerde uygulanmaktadır.

çevreyi keşfetmek

Bu aşamada saldırgan, saldırının amaçlanan hedefi etrafındaki ağ ortamını araştırır. Bu tür alanlar, örneğin, "kurbanın" İnternet sağlayıcısının ana bilgisayarlarını veya saldırıya uğrayan şirketin uzak ofisinin ana bilgisayarlarını içerir. Bu aşamada, saldırgan "güvenilir" sistemlerin (örneğin, ortağın ağı) ve doğrudan saldırı hedefine bağlı düğümlerin (örneğin, ISP yönlendiricisi) vb. adreslerini belirlemeye çalışıyor olabilir. Yeterince uzun bir süre boyunca ve güvenlik önlemleri (güvenlik duvarları, izinsiz giriş tespit sistemleri vb.) tarafından kontrol edilen alanın dışında gerçekleştirildiklerinden, bu tür eylemlerin tespit edilmesi oldukça zordur.

Ağ topolojisi tanımlama

Saldırganlar tarafından kullanılan ağ topolojisini belirlemenin iki ana yöntemi vardır:

1. TTL değişikliği (TTL modülasyonu),
2. rota kaydı (rota kaydı).

İlk yöntem, Unix için traceroute ve Windows için tracert tarafından kullanılır. IP paketi başlığında, ağ paketinin geçtiği yönlendirici sayısına göre değişen Yaşam Süresi alanını kullanırlar. Ping yardımcı programı, bir ICMP paketinin rotasını kaydetmek için kullanılabilir. Çoğu zaman, ağ topolojisi, güvenliği yanlış yapılandırılmış birçok ağ cihazında kurulu SNMP protokolü kullanılarak bulunabilir. RIP protokolünü kullanarak, ağdaki yönlendirme tablosu vb. hakkında bilgi almayı deneyebilirsiniz.

Bu yöntemlerin çoğu, ağ haritaları oluşturmak için modern yönetim sistemleri (örn. HP OpenView, Cabletron SPECTRUM, MS Visio, vb.) tarafından kullanılır. Ve aynı yöntemler, saldırganlar tarafından saldırıya uğrayan ağın bir haritasını oluşturmak için başarıyla kullanılabilir.

düğüm tanımlama

Ana bilgisayar tanımlama genellikle ping yardımcı programı kullanılarak ICMP ECHO_REQUEST komutu gönderilerek yapılır. ECHO_REPLY yanıt mesajı, düğümün kullanılabilir olduğunu gösterir. Fping veya nmap gibi çok sayıda düğümü paralel olarak tanımlama sürecini otomatikleştiren ve hızlandıran ücretsiz programlar vardır. Bu yöntemin tehlikesi, ECHO_REQUEST isteklerinin düğümün standart araçları tarafından sabitlenmemesidir. Bunu yapmak için trafik analiz araçlarını, güvenlik duvarlarını veya izinsiz giriş tespit sistemlerini kullanmanız gerekir.

Bu, düğümleri tanımlamanın en basit yöntemidir. Ancak, iki dezavantajı vardır.

1. Pek çok ağ aygıtı ve programı, ICMP paketlerini engeller ve dahili ağa girmelerine izin vermez (veya tam tersi, bunların dışarı çıkmasına izin vermez). Örneğin, MS Proxy Server 2.0, paketlerin ICMP protokolünden geçmesine izin vermez. Sonuç, tamamlanmamış bir resimdir. Öte yandan, bir ICMP paketinin engellenmesi, saldırgana bir "ilk savunma hattı" - yönlendiriciler, güvenlik duvarları vb. - olduğunu söyler.
2. ICMP isteklerinin kullanılması, elbette bir saldırganın görevi olamayacak olan kaynaklarını bulmayı kolaylaştırır.

Düğümleri tanımlamanın başka bir yöntemi vardır - bir ağ segmentindeki farklı düğümleri tanımlamanıza izin veren ağ kartının "karma" modunu kullanmak. Ancak saldırganın kendi düğümünden ağ segmentinin trafiğine erişemediği durumlarda uygulanamaz, örn. bu yöntem yalnızca yerel ağlarda uygulanabilir. Bir ağdaki ana bilgisayarları tanımlamanın başka bir yolu, bir ad hizmeti sunucusuna erişerek bir şirket ağındaki ana bilgisayarları tanımlamanıza olanak tanıyan DNS keşfidir.

Hizmet tanımlama veya bağlantı noktası taraması

Hizmetlerin tanımlanması, kural olarak, açık portların tespit edilmesiyle (port taraması) gerçekleştirilir. Bu tür bağlantı noktaları genellikle TCP veya UDP protokollerine dayalı hizmetlerle ilişkilendirilir. Örneğin:

• açık bağlantı noktası 80, bir web sunucusu anlamına gelir,
• 25. bağlantı noktası - SMTP posta sunucusu,
• 31337th - Truva atı BackOrifice'in sunucu kısmı,
• 12345th veya 12346th - NetBus Truva atının sunucu kısmı, vb.

İşletim sistemi kimliği

Uzak işletim sistemini belirlemenin ana mekanizması, çeşitli işletim sistemlerinde TCP / IP yığınının farklı uygulamalarını dikkate alarak isteklere verilen yanıtların analizidir. Her işletim sistemi, özel istekler ve yanıtlar kullanarak uzak bir ana bilgisayarda hangi işletim sisteminin kurulu olduğunu belirlemeyi mümkün kılan TCP/IP protokol yığınını kendi yöntemiyle uygular.

İşletim sistemi düğümlerini belirlemenin daha az etkili ve son derece sınırlı başka bir yolu, önceki adımda bulunan ağ hizmetlerini analiz etmektir. Örneğin, açık bağlantı noktası 139, uzak ana bilgisayarın büyük olasılıkla Windows ailesinden bir işletim sistemi çalıştırdığı sonucuna varmamızı sağlar. İşletim sistemini belirlemek için çeşitli programlar kullanılabilir. Örneğin, nmap veya queso.

Toplantı Sahibinin Rolünü Belirleme

Saldırıya uğrayan ana bilgisayar hakkında bilgi toplama aşamasındaki sondan bir önceki adım, örneğin bir güvenlik duvarı veya bir Web sunucusunun işlevlerini yerine getirme rolünü belirlemektir. Bu adım, etkin hizmetler, ana bilgisayar adları, ağ topolojisi vb. hakkında önceden toplanmış bilgiler temelinde gerçekleştirilir. Örneğin, açık bir bağlantı noktası 80, bir Web sunucusunun varlığını gösterebilir, bir ICMP paketinin engellenmesi, bir güvenlik duvarının olası bir varlığını belirtir ve DNS ana bilgisayar adı proxy.domain.ru veya fw.domain.ru kendi kendini açıklar.

Ana bilgisayar güvenlik açıklarını belirleyin

Son adım, güvenlik açıklarını aramaktır. Bu adımda, saldırgan, çeşitli otomatik araçlar kullanarak veya manuel olarak, bir saldırı gerçekleştirmek için kullanılabilecek güvenlik açıklarını belirler. ShadowSecurityScanner, nmap, Retina vb. gibi otomatik araçlar kullanılabilir.

2. Saldırının uygulanması

Bu andan itibaren, saldırıya uğrayan düğüme erişme girişimi başlar. Bu durumda, erişim doğrudan olabilir, yani. ana bilgisayara ve dolaylı olarak, örneğin bir hizmet reddi saldırısı uygularken. Doğrudan erişim durumunda saldırıların uygulanması da iki aşamaya ayrılabilir:

• penetrasyon;
• kontrolün kurulması.

penetrasyon

Penetrasyon, çevreyi koruma araçlarının (örneğin bir güvenlik duvarı) üstesinden gelmeyi içerir. Bu, çeşitli şekillerde uygulanabilir. Örneğin, e-posta (makrovirüsler) yoluyla veya Java uygulamaları yoluyla düşmanca içerik ileterek dışa "görünen" bir bilgisayar hizmetindeki bir güvenlik açığından yararlanmak. Bu tür içerik, güvenlik duvarında (VPN tünelleriyle karıştırılmamalıdır) sözde "tünelleri" kullanabilir ve ardından saldırganın içinden sızabilir. Bu aşama, özel bir yardımcı program (örneğin, L0phtCrack veya Crack) kullanılarak bir yönetici veya başka bir kullanıcı parolasının seçimini de içerir.

Kontrol kurulması

Penetrasyondan sonra saldırgan, saldırıya uğrayan düğüm üzerinde kontrol sağlar. Bu, bir Truva atı programı (örn. NetBus veya BackOrifice) enjekte edilerek yapılabilir. Saldırgan, istenen düğüm üzerinde kontrol sağladıktan ve izleri "örttükten" sonra, saldırıya uğrayan bilgisayarın sahibinin bilgisi olmadan gerekli tüm yetkisiz eylemleri uzaktan gerçekleştirebilir. Aynı zamanda, kurumsal ağ düğümü üzerinde denetim kurulması, işletim sistemi yeniden başlatıldıktan sonra da sürdürülmelidir. Bu, önyükleme dosyalarından birini değiştirerek veya başlangıç ​​dosyalarına veya sistem kayıt defterine düşman koduna bir bağlantı ekleyerek yapılabilir. Bir saldırganın bir ağ kartının EEPROM'unu yeniden programlayabildiği ve işletim sistemini yeniden yükledikten sonra bile yetkisiz eylemleri yeniden uygulayabildiği bilinen bir durum vardır. Bu örneğin daha basit bir modifikasyonu, gerekli kodu veya snippet'i ağ önyükleme komut dosyasına (örn. Novell Netware OS için) enjekte etmektir.

saldırı hedefleri

Saldırının tamamlanma aşaması, saldırganın "izleri kapatması" dır. Bu genellikle, düğümün günlüklerinden uygun girişleri silerek ve saldırıya uğrayan sistemi orijinal "saldırı öncesi" durumuna geri döndüren diğer eylemlerle yapılır.

Saldırıların sınıflandırılması

Çeşitli saldırı sınıflandırma türleri vardır. Örneğin, pasif ve aktif, dış ve iç, kasıtlı ve kasıtsız olarak bölünme. Ancak, pratikte pek uygulanabilir olmayan çok çeşitli sınıflandırmalarla kafanızı karıştırmamak için daha "hayati" bir sınıflandırma öneriyorum:

1. uzaktan penetrasyon. Bir ağ üzerinden bir bilgisayarın uzaktan kontrolünü uygulamanıza izin veren saldırılar. Örneğin, NetBus veya BackOrifice.
2. Yerel penetrasyon (yerel penetrasyon). Üzerinde çalıştığı ana bilgisayara yetkisiz erişimle sonuçlanan bir saldırı. Örneğin, GetAdmin.
3. Uzaktan hizmet reddi. İnternet üzerinden bilgisayarınızı bozmanıza veya aşırı yüklemenize izin veren saldırılar. Örneğin, Teardrop veya trin00.
4. Yerel hizmet reddi. Uygulandıkları bilgisayarı bozmanıza veya aşırı yüklemenize izin veren saldırılar. Bu tür bir saldırıya örnek, CPU'yu sonsuz bir döngüde yükleyen ve diğer uygulamalardan gelen isteklerin işlenmesini imkansız hale getiren "düşmanca" bir uygulamadır.
5. Ağ tarayıcıları. Ağ topolojisini analiz eden ve saldırı için uygun hizmetleri tespit eden programlar. Örneğin, nmap sistemi.
6. Güvenlik açığı tarayıcıları. Ağ düğümlerinde güvenlik açıkları arayan ve saldırıları gerçekleştirmek için kullanılabilen programlar. Örneğin, SATAN sistemi veya ShadowSecurityScanner.
7. Şifre kırıcılar. Kullanıcı parolalarını "toplayan" programlar. Örneğin, Windows için L0phtCrack veya Unix için Crack.
8. Protokol analizörleri (koklayıcılar). Ağ trafiğini "dinleyen" programlar. Bu programlar, kullanıcı kimlikleri ve parolaları, kredi kartı bilgileri vb. bilgileri otomatik olarak arayabilir. Örneğin Microsoft Network Monitor, Network Associates'ten NetXRay veya LanExplorer.

İnternet Güvenlik Sistemleri A.Ş. olası kategori sayısını daha da azaltarak 5'e çıkardı:

1. Bilgi toplama (Bilgi toplama).
2. Yetkisiz erişim girişimleri.
3. Hizmet reddi.
4. Şüpheli aktivite.
5. Sistem saldırıları.

İlk 4 kategori uzak saldırıları, son kategori ise saldırıya uğrayan düğümde uygulanan yerel saldırıları ifade eder. Bu sınıflandırmanın, sözde "pasif" saldırıların ("trafik dinleme", "yanlış DNS sunucusu", "ARP sunucusu sızdırma" vb.) tüm sınıfını içermediği not edilebilir.

Birçok saldırı tespit sisteminde uygulanan saldırıların sınıflandırılması kategorik olamaz. Örneğin, Unix OS'de uygulanması (örneğin, statd arabellek taşması) en feci sonuçlara (en yüksek öncelik) sahip olabilecek bir saldırı, Windows NT OS'de hiç uygulanabilir olmayabilir veya çok düşük bir risk derecesine sahip olabilir. Ek olarak, saldırıların ve güvenlik açıklarının adlarında bir karışıklık var. Aynı saldırı, farklı izinsiz giriş tespit sistemi üreticilerinden farklı isimler alabilir.

Güvenlik açıkları ve saldırılar için en iyi veritabanlarından biri, şu adreste bulunan X-Force veritabanıdır: http://xforce.iss.net/. Ücretsiz olarak dağıtılan X-Force Alert posta listesine abone olarak veya ISS Web sunucusundaki veritabanında etkileşimli olarak arama yaparak erişilebilir.

Çözüm

Bilgi sistemlerinin bileşenlerinde güvenlik açıkları olmasaydı, çok sayıda saldırı gerçekleştirmek imkansız olurdu ve bu nedenle geleneksel koruma sistemleri, olası saldırılarla oldukça etkili bir şekilde başa çıkabilirdi. Ancak programlar hata yapan insanlar tarafından yazılır. Sonuç olarak, saldırganlar tarafından saldırıları gerçekleştirmek için kullanılan güvenlik açıkları ortaya çıkar. Ancak, bu sorunun sadece yarısı. Tüm saldırılar bire bir modele göre inşa edilmiş olsaydı, o zaman biraz esnetebilirdi, ancak güvenlik duvarları ve diğer savunma sistemleri de bunlara karşı koyabilirdi. Ancak, geleneksel araçların artık o kadar etkili olmadığı koordineli saldırılar ortaya çıktı. Ve burada yeni teknolojiler sahneye çıkıyor - izinsiz giriş tespit teknolojileri. Saldırılarla ilgili verilerin yukarıdaki sistematikleştirmesi ve uygulama aşamaları, saldırı tespit teknolojilerini anlamak için gerekli temeli sağlar.

Bilgisayar saldırısı tespit araçları

İzinsiz giriş tespit teknolojisi aşağıdaki görevleri çözmelidir:

• Bilinen saldırıların tanınması ve bunların ilgili personele uyarılması.
• "Anlamak" genellikle saldırılarla ilgili bilgi kaynaklarını belirsizleştirir.
• Kurumsal bir ağın bileşenleri olan kullanıcıları, sistemleri ve ağları izlemeye yönelik devam eden rutin operasyonlardan güvenlik personeli üzerindeki yükün serbest bırakılması veya azaltılması.
• Güvenlikle ilgili olmayan uzmanlar tarafından sağlanan korumaları yönetme yeteneği.
• Kurumsal ağ varlıklarının (kullanıcılar, programlar, süreçler vb.) tüm eylemlerinin kontrolü.

Sıklıkla Saldırı Tespit Sistemleri uygulama alanlarını önemli ölçüde genişleten işlevleri gerçekleştirebilir. Örneğin,

• Güvenlik duvarlarının etkinliğini izleme. Örneğin, bir izinsiz giriş tespit sisteminin kurulması güvenlik duvarı(kurumsal ağ içinde), ITU tarafından kaçırılan saldırıları tespit etmenize ve böylece güvenlik duvarındaki eksik kuralları belirlemenize olanak tanır.
• Kaldırılmış güncellemelere sahip ağ düğümlerinin veya güncel olmayan yazılımlara sahip düğümlerin kontrolü.
• Belirli İnternet sitelerine erişimi engelleme ve kontrol etme. İzinsiz giriş tespit sistemleri, güvenlik duvarlarından ve WEBsweeper gibi URL erişim kontrol sistemlerinden uzak olsa da, belirli kurumsal ağ kullanıcılarının pornografik Web sunucuları gibi belirli İnternet kaynaklarına erişimini kısmen kontrol edebilir ve engelleyebilir. Kuruluşun hem güvenlik duvarı hem de saldırı tespit sistemi satın alacak parası olmadığında ve ITU'nun işlevleri saldırı tespit sistemi, yönlendirici ve proxy sunucusu arasında dağıtıldığında bu gereklidir. Ek olarak, izinsiz giriş tespit sistemleri, anahtar kelimelere dayalı olarak çalışanların sunuculara erişimini kontrol edebilir. Örneğin seks, iş, crack vb.
• E-posta kontrolü. İzinsiz giriş tespit sistemleri, özgeçmiş göndermek gibi iş sorumlulukları dışındaki görevleri gerçekleştirmek için e-posta kullanan güvenilmez çalışanları kontrol etmek için kullanılabilir. Bazı sistemler e-posta mesajlarındaki virüsleri tespit edebilmektedir ve gerçek anti-virüs sistemlerinden uzak olmalarına rağmen yine de bu görevi oldukça etkin bir şekilde yerine getirmektedirler.

Bilgi güvenliği profesyonellerinin zaman ve deneyimlerini en iyi şekilde kullanmaları, saldırıları kendilerinin tespit etmesinden ziyade, saldırıların nedenlerini tespit edip ortadan kaldırmaktır. Saldırıların nedenlerini ortadan kaldırarak, yani. Güvenlik açıklarını keşfedip ortadan kaldıran yönetici, böylece saldırıların potansiyel olarak uygulanması gerçeğini ortadan kaldırır. Aksi takdirde, saldırı sürekli olarak yöneticinin çabasını ve dikkatini gerektirecek şekilde tekrarlanacaktır.

Saldırı tespit sistemlerinin sınıflandırılması

Saldırı tespit sistemlerinin çok sayıda farklı sınıflandırması vardır, ancak en yaygın olanı uygulama ilkesine göre sınıflandırmadır:

1. ana bilgisayar tabanlı yani belirli bir ağ düğümüne yönelik saldırıları tespit etmek,
2. ağ tabanlı yani tüm ağa veya ağ segmentine yönelik saldırıları tespit etmek.

Tek bir bilgisayarı kontrol eden saldırı tespit sistemleri genellikle işletim sistemi ve çeşitli uygulamaların (Web sunucusu, DBMS, vb.) günlüklerinden bilgi toplar ve analiz eder. RealSecure OS Sensor bu prensibe göre çalışır. Ancak son zamanlarda, işletim sistemi çekirdeğiyle sıkı bir şekilde entegre olan sistemler yaygınlaştı ve böylece güvenlik politikası ihlallerini tespit etmek için daha verimli bir yol sağladı. Ayrıca, böyle bir entegrasyon iki şekilde uygulanabilir. İlk olarak, tüm işletim sistemi sistem çağrıları (Entercept bu şekilde çalışır) veya tüm gelen/giden ağ trafiği (RealSecure Server Sensor bu şekilde çalışır) izlenebilir. İkinci durumda, izinsiz giriş tespit sistemi, işletim sistemini atlayarak tüm ağ trafiğini doğrudan ağ kartından yakalar, bu da ona olan bağımlılığı azaltır ve böylece izinsiz giriş tespit sisteminin güvenliğini artırır.

Ağ katmanı saldırı tespit sistemleri ağın kendisinden, yani ağ trafiğinden bilgi toplayın. Bu sistemler, geleneksel bilgisayarlarda (örneğin, RealSecure Ağ Sensörü), özel bilgisayarlarda (örneğin, Nokia için RealSecure veya Cisco Secure IDS 4210 ve 4230) çalışabilir veya yönlendiricilere veya anahtarlara entegre edilebilir (örneğin, CiscoSecure IOS Tümleşik Yazılım veya Cisco Catalyst 6000 IDS modülü). İlk iki durumda, analiz edilen bilgiler karışık modda ağ arayüzlerini kullanarak paketleri yakalayıp analiz ederek toplanır. İkinci durumda, trafik ağ ekipmanı veriyolundan yakalanır.

Saldırı tespiti, iki koşuldan birinin karşılanmasını gerektirir - sistemin kontrol edilen nesnesinin beklenen davranışını anlamak veya tüm olası saldırıları ve bunların değişikliklerini bilmek. İlk durumda anormal davranış tespit teknolojisi kullanılır ve ikinci durumda kötü niyetli davranış veya kötüye kullanım tespit teknolojisi kullanılır. İkinci teknik, saldırıyı bir kalıp veya imza şeklinde tanımlamak ve bu kalıbı kontrollü bir alanda (örneğin, ağ trafiği veya bir günlük) aramaktır. Bu teknoloji, virüs tespitine çok benzer (antivirüs sistemleri izinsiz giriş tespit sisteminin en iyi örneğidir), yani sistem bilinen tüm saldırıları tespit edebilir, ancak henüz bilinmeyen yeni saldırıları tespit edecek şekilde uyarlanmış değildir. Bu tür sistemlerde uygulanan yaklaşım çok basittir ve bugün piyasada sunulan saldırı tespit sistemlerinin neredeyse tamamı buna dayanmaktadır.

Hemen hemen tüm izinsiz giriş tespit sistemleri imza yaklaşımına dayalıdır.

Saldırı tespit sistemlerinin avantajları

Host ve network seviyesinde çalışan saldırı tespit sistemlerinin çeşitli avantajlarını uzun uzun sıralamak mümkündür. Ancak bunlardan sadece birkaçı üzerinde duracağım.

Anahtarlama, büyük ölçekli ağları birkaç küçük ağ segmentiymiş gibi yönetmenize olanak tanır. Sonuç olarak, ağ trafiğindeki saldırıları tespit eden bir sistemin kurulacağı en iyi yeri belirlemek zor olabilir. Bazen anahtarlardaki açıklık bağlantı noktaları yardımcı olabilir, ancak her zaman değil. Ana bilgisayara özel saldırı algılama, algılama sistemlerini yalnızca buna ihtiyaç duyan düğümlere yerleştirmenize izin verdiği için anahtarlamalı ağlarda daha verimli bir deneyim sağlar.

Ağ katmanı sistemleri, saldırı tespit sistemi yazılımının her ana bilgisayara yüklenmesini gerektirmez. IDS'nin kurulu olduğu konumların sayısı, tüm ağı izlemek için az olduğundan, bunları bir kurumsal ağda çalıştırmanın maliyeti, sistem düzeyinde izinsiz giriş tespit sistemlerini çalıştırmanın maliyetinden daha düşüktür. Ek olarak, bir ağ segmentini izlemek için, belirli bir segmentteki düğüm sayısına bakılmaksızın yalnızca bir sensöre ihtiyaç vardır.

Saldırganın bilgisayarından ayrılan ağ paketi geri döndürülemez. Ağ katmanında çalışan sistemler, saldırıları gerçek zamanlı olarak tespit ederken "canlı" trafiği kullanır. Böylece saldırgan yetkisiz faaliyetinin izlerini kaldıramaz. Analiz edilen veriler, yalnızca saldırı yöntemiyle ilgili bilgileri değil, aynı zamanda saldırganın kimliğini belirlemeye ve mahkemede kanıtlamaya yardımcı olabilecek bilgileri de içerir. Çoğu bilgisayar korsanı, sistem günlük tutma mekanizmalarına yakından aşina olduğundan, etkinliklerinin izlerini gizlemek için bu dosyaları nasıl kullanacaklarını bilirler ve bir saldırıyı algılamak için bu bilgilere ihtiyaç duyan sistem düzeyindeki sistemleri baltalarlar.

Ağ düzeyindeki sistemler, şüpheli olayları ve saldırıları meydana gelir gelmez tespit eder ve bu nedenle, günlükleri ayrıştıran sistemlerden çok daha hızlı bildirim ve yanıt sağlar. Örneğin, TCP tabanlı bir ağ hizmet reddi saldırısı başlatan bir bilgisayar korsanı, saldırı kesintiye neden olmadan önce saldıran ana bilgisayarla bağlantıyı sonlandırmak için başlıkta Reset bayrağı ayarlanmış bir TCP paketi gönderen bir ağ katmanı saldırı tespit sistemi tarafından durdurulabilir. saldırıya uğrayan düğümde hasar. Günlük analiz sistemleri, ilgili günlük girişine kadar saldırıları tanımaz ve giriş yapıldıktan sonra yanıt eylemleri gerçekleştirir. Bu noktada, kritik sistemler veya kaynaklar zaten tehlikede olabilir veya ana bilgisayar düzeyinde izinsiz giriş tespit sistemini çalıştıran sistem tehlikeye girmiş olabilir. Gerçek zamanlı bildirim, önceden tanımlanmış parametrelere göre hızlı tepki vermenizi sağlar. Bu yanıtların aralığı, saldırı ve saldırgan hakkında bilgi toplamak için gözetleme modunda izinsiz girişe izin vermekten saldırıyı anında sonlandırmaya kadar uzanır.

Son olarak, ağ düzeyinde çalışan izinsiz giriş tespit sistemleri, kurumsal ağdaki tüm düğümler tarafından değiş tokuş edilen ağ trafiği üzerinde çalıştıklarından, şirket ağında kurulu işletim sistemlerine bağlı değildir. Saldırı tespit sistemi, tespit sistemi tarafından desteklenen standartlara uygun olduğu sürece hangi işletim sisteminin belirli bir paketi oluşturduğunu umursamaz. Örneğin Windows 98, Windows NT, Windows 2000 ve XP, Netware, Linux, MacOS, Solaris vb. ağ üzerinde çalışabilir, ancak birbirleriyle IP üzerinden iletişim kurarlarsa, bunu destekleyen saldırı tespit sistemlerinden herhangi biri protokolü, bu işletim sistemlerine yönelik saldırıları tespit edebilecektir.

Ağ düzeyinde ve ana bilgisayar düzeyinde izinsiz giriş tespit sistemlerinin birlikte kullanılması, ağınızın güvenliğini artıracaktır.

Ağ saldırı tespit sistemleri ve güvenlik duvarları

Çoğu zaman, ağ izinsiz giriş tespit sistemlerini güvenlik duvarlarıyla değiştirmeye çalışırlar ve güvenlik duvarlarının çok yüksek düzeyde güvenlik sağladığına güvenirler. Bununla birlikte, güvenlik duvarlarının, kendilerinden geçen trafiğe izin veren veya engelleyen basit, kural tabanlı sistemler olduğunu unutmayın. "" teknolojisi kullanılarak oluşturulan güvenlik duvarları bile, kontrol ettikleri trafikte bir saldırı olup olmadığını kesin olarak söylemenize izin vermez. Trafiğin kurala uyup uymadığını söyleyebilirler. Örneğin, ITU, 80 numaralı bağlantı noktasındaki (yani HTTP trafiği) TCP bağlantıları dışındaki tüm bağlantıları engelleyecek şekilde yapılandırılmıştır. Bu nedenle, 80. bağlantı noktasından geçen herhangi bir trafik, ITU açısından yasaldır. Öte yandan, izinsiz giriş tespit sistemi trafiği de izler, ancak içinde bir saldırı olduğuna dair işaretler arar. Trafiğin hangi limana yönlendirildiği pek umurunda değil. Varsayılan olarak, izinsiz giriş tespit sistemi için tüm trafik şüphelidir. Yani saldırı tespit sistemi ITU ile aynı veri kaynağı ile yani ağ trafiği ile çalışmasına rağmen birbirini tamamlayıcı işlevler yerine getirirler. Örneğin, "GET /../../../etc/passwd HTTP/1.0" HTTP isteği. Hemen hemen her ITU, bu talebin kendi içinden geçmesine izin verir. Ancak saldırı tespit sistemi bu saldırıyı kolaylıkla tespit edecek ve engelleyecektir.

Aşağıdaki analojiyi çizebiliriz. Güvenlik duvarı, ağınızın ana girişine kurulan basit bir turnikedir. Ancak ana kapıların yanı sıra pencerelerin yanı sıra başka kapılar da vardır. Saldırgan, gerçek bir çalışan kılığına girerek veya turnikedeki nöbetçiye güven kazanarak, turnikeden patlayıcı bir cihaz veya silah taşıyabilir. Biraz. Bir davetsiz misafir pencerenizden içeri girebilir. Bu nedenle, ağ güvenliğinin gerekli ancak açıkça yetersiz bir unsuru olan güvenlik duvarlarının sağladığı korumayı artıran saldırı tespit sistemlerine ihtiyacımız var.

güvenlik duvarı- her derde deva değil!

Tespit edilen bir saldırıya verilen tepki çeşitleri

Bir saldırıyı tespit etmek yeterli değildir, ona göre yanıt vermek gerekir. Saldırı tespit sisteminin etkinliğini büyük ölçüde belirleyen yanıt seçenekleridir. Şu anda aşağıdaki seçenekler sunulmaktadır:

• Bir izinsiz giriş tespit sisteminin konsoluna (yedek dahil) veya entegre bir sistemin (örneğin bir güvenlik duvarı) konsoluna bildirim.
• Bir saldırının sesli bildirimi.
• Ağ yönetim sistemleri için SNMP kaçış dizilerinin oluşturulması.
• Bir saldırı hakkında bir e-posta oluşturuluyor.
• Çağrı cihazına veya faksa ek bildirimler. Nadiren kullanılmasına rağmen çok ilginç bir özellik. Yetkisiz etkinliğin algılanmasıyla ilgili bir uyarı yöneticiye değil, saldırgana gönderilir. Bu yanıt seçeneğinin destekçilerine göre, keşfedildiğini öğrenen ihlal eden kişi eylemlerini durdurmak zorunda kalır.
• Tespit edilen olayların zorunlu kaydı. Kayıt defteri şunlar olabilir:
  • Metin dosyası,
  • sistem günlüğü (örneğin, bir Cisco Güvenli Tümleşik Yazılım sisteminde),
  • özel bir formatta metin dosyası (örneğin, Snort sisteminde),
  • yerel MS Access veritabanı,
  • SQL veritabanı (örneğin, RealSecure sisteminde).
  Yalnızca kayıtlı bilgi hacimlerinin kural olarak bir SQL veritabanı - MS SQL veya Oracle gerektirdiğini hesaba katmak gerekir.
• Olay izleme (olay izleme), yani sırayla ve saldırgan tarafından uygulandıkları hızda kaydedilmesi. Ardından, herhangi bir zamanda yönetici, saldırganın etkinliğini analiz etmek için istenen olay dizisini belirli bir hızda (gerçek zamanlı, hızlı veya yavaş) yeniden oynatabilir (tekrar oynatabilir veya yeniden oynatabilir). Bu, niteliklerini, kullanılan saldırı araçlarını vb. anlamanıza izin verecektir.
• Saldırganın eylemlerini kesintiye uğratmak, yani. bağlantının kesilmesi. Şunun gibi yapılabilir:
  • bağlantının kesilmesi (oturumun ele geçirilmesi) ve RST bayrağı ayarlanmış bir paketin her biri adına ağ bağlantısındaki her iki katılımcıya gönderilmesi (ağ düzeyinde çalışan bir izinsiz giriş tespit sisteminde);
  • saldırıyı gerçekleştiren kullanıcının hesabının engellenmesi (ana bilgisayar düzeyinde izinsiz giriş tespit sisteminde). Bu engelleme, belirli bir süre boyunca veya yönetici tarafından hesabın kilidi açılana kadar gerçekleştirilebilir. Engelleme, izinsiz giriş tespit sisteminin başlatıldığı ayrıcalıklara bağlı olarak, hem saldırının hedef aldığı bilgisayarın kendi içinde hem de tüm ağ etki alanında çalışabilir.
• Ağ ekipmanının veya güvenlik duvarlarının yeniden yapılandırılması. Bir saldırı algılanırsa, erişim kontrol listesini değiştirmek için yönlendiriciye veya güvenlik duvarına bir komut gönderilir. Ardından, saldıran düğümden gelen tüm bağlantı girişimleri reddedilecektir. Bir saldırganın hesabını bloke etmek gibi, erişim kontrol listesinin değiştirilmesi, belirli bir zaman aralığı boyunca veya değişiklik, yeniden yapılandırılabilir ağ ekipmanının yöneticisi tarafından iptal edilene kadar gerçekleştirilebilir.
• Güvenlik duvarlarında uygulandığı şekliyle ağ trafiğini engelleme. Bu seçenek, kişisel güvenlik duvarlarında bulunan işlevleri gerçekleştirmenize izin vererek, korunan bilgisayarın kaynaklarına erişebilecek alıcıların yanı sıra trafiği sınırlamanıza olanak tanır.

İnternet, yaşam tarzımızı tamamen değiştirir: çalışma, çalışma, boş zaman. Bu değişiklikler hem zaten bildiğimiz alanlarda (e-ticaret, bilgiye gerçek zamanlı erişim, artan bağlantı vb.) hem de henüz bilmediğimiz alanlarda gerçekleşecek.

Bir şirketin tüm telefon görüşmelerini İnternet üzerinden ve ücretsiz yapacağı bir zaman gelebilir. Özel yaşamda, ebeveynlerin çocuklarının nasıl olduğunu her an öğrenebilecekleri özel Web siteleri görünebilir. Toplumumuz internetin sınırsız olanaklarını yeni yeni fark etmeye başlıyor.

giriiş

İnternetin popülaritesindeki muazzam artışla eş zamanlı olarak, kişisel verilerin, kritik şirket kaynaklarının, devlet sırlarının vb. ifşa edilmesi gibi benzeri görülmemiş bir tehlike vardır.

Her gün bilgisayar korsanları, bir yandan giderek daha karmaşık hale gelen ve diğer yandan yürütülmesi daha kolay hale gelen özel saldırıların yardımıyla bunlara erişmeye çalışarak bu kaynakları tehdit ediyor. Buna iki ana faktör katkıda bulunur.

Birincisi, internetin her yerde yaygınlaşmasıdır. Bugün Web'e bağlı milyonlarca cihaz var ve yakın gelecekte milyonlarca cihaz İnternet'e bağlanacak, bu nedenle bilgisayar korsanlarının savunmasız cihazlara erişme şansı sürekli artıyor.

Ayrıca internetin yaygın olarak kullanılması, bilgisayar korsanlarının bilgileri küresel ölçekte paylaşmalarına olanak tanır. "Hacker", "hack", "hack", "crack" veya "phreak" gibi anahtar kelimeler için basit bir arama, size çoğu kötü amaçlı kodlar ve bunların nasıl kullanılacağını içeren binlerce site verecektir.

İkincisi, kullanımı kolay işletim sistemleri ve geliştirme ortamlarının en geniş dağıtımıdır. Bu faktör, bir bilgisayar korsanının ihtiyaç duyduğu bilgi ve beceri düzeyini keskin bir şekilde azaltır. Geçmişte, kullanımı kolay uygulamalar oluşturmak ve dağıtmak için bir bilgisayar korsanının iyi programlama becerilerine sahip olması gerekiyordu.

Şimdi, bilgisayar korsanlığı aracına erişmek için, yalnızca istenen sitenin IP adresini bilmeniz ve saldırıyı gerçekleştirmek için fareye tıklamanız yeterli.

Ağ saldırılarının sınıflandırılması

Ağ saldırıları, hedefledikleri sistemler kadar çeşitlidir. Bazı saldırılar çok karmaşıktır, diğerleri ise, faaliyetinin hangi sonuçlara yol açabileceğini hayal bile etmeyen sıradan bir operatörün gücü dahilindedir. Saldırı türlerini değerlendirmek için, TPC/IP protokolünün doğasında bulunan bazı sınırlamaları bilmek gerekir. Ağ

İnternet, eğitim sürecine ve bilimsel araştırmaya yardımcı olmak amacıyla devlet kurumları ile üniversiteler arasındaki iletişim için yaratılmıştır. Bu ağın yaratıcılarının ne kadar yaygınlaşacağı hakkında hiçbir fikirleri yoktu. Sonuç olarak, erken İnternet Protokolü (IP) belirtimlerinde güvenlik gereksinimleri yoktu. Bu nedenle birçok IP uygulaması doğası gereği savunmasızdır.

Yıllar sonra, onca iddiadan (Request for Comment, RFC ) sonra nihayet IP için güvenlik araçları uygulanmaya başlandı. Bununla birlikte, IP korumasının orijinal olarak geliştirilmemiş olması nedeniyle, tüm uygulamaları, bu protokolün doğasında var olan riskleri azaltan çeşitli ağ prosedürleri, hizmetler ve ürünlerle desteklenmeye başlandı. Ardından, IP ağlarına karşı yaygın olarak kullanılan saldırı türlerini kısaca gözden geçireceğiz ve bunlarla mücadele etmenin yollarını listeleyeceğiz.

paket dinleyicisi

Paket dinleyicisi, rastgele modda çalışan bir ağ kartı kullanan bir uygulama programıdır (bu modda, fiziksel kanallar üzerinden alınan tüm paketler ağ bağdaştırıcısı tarafından işlenmek üzere uygulamaya gönderilir).

Bu durumda, algılayıcı, belirli bir etki alanı üzerinden iletilen tüm ağ paketlerini yakalar. Şu anda, koklayıcılar ağlarda tamamen yasal olarak çalışmaktadır. Sorun giderme ve trafik analizi için kullanılırlar. Ancak, bazı ağ uygulamalarının verileri metin biçiminde iletmesinden dolayı ( Telnet, FTP, SMTP, POP3, vb..), bir algılayıcı kullanarak yararlı ve bazen gizli bilgileri (örneğin, kullanıcı adları ve parolalar) öğrenebilirsiniz.

İsimlerin ve şifrelerin ele geçirilmesi, kullanıcılar birçok uygulama ve sistem için genellikle aynı kullanıcı adı ve şifreyi kullandığından büyük bir tehlike oluşturur. Çoğu kullanıcının tüm kaynaklara ve uygulamalara erişmek için genellikle tek bir parolası vardır.

Uygulama istemci-sunucu modunda çalışıyorsa ve kimlik doğrulama verileri ağ üzerinden okunabilir bir metin biçiminde iletiliyorsa, bu bilgiler büyük olasılıkla diğer kurumsal veya harici kaynaklara erişmek için kullanılabilir. Bilgisayar korsanları insan zayıflıklarını çok iyi bilir ve kullanır (saldırı yöntemleri genellikle sosyal mühendislik yöntemlerine dayanır).

Pek çok kaynağa erişmek için aynı parolayı kullandığımızı gayet iyi biliyorlar ve bu nedenle genellikle parolamızı bilerek önemli bilgilere erişmeyi başarıyorlar. En kötü durumda, bir bilgisayar korsanı, sistem düzeyinde bir kullanıcı kaynağına erişim kazanır ve onun yardımıyla, Ağa ve kaynaklarına herhangi bir zamanda erişmek için kullanılabilecek yeni bir kullanıcı oluşturur.

Aşağıdaki araçları kullanarak paket dinleme tehdidini azaltabilirsiniz.:

kimlik doğrulama. Güçlü kimlik doğrulama, paket dinlemeye karşı korunmanın en önemli yoludur. "Güçlü" derken, atlatılması zor olan kimlik doğrulama yöntemlerini kastediyoruz. Bu tür bir kimlik doğrulama örneği, tek seferlik parolalardır (Tek Kullanımlık Parolalar, OTP).

OTP, sahip olduklarınızı bildiklerinizle birleştiren iki faktörlü bir kimlik doğrulama teknolojisidir. İki faktörlü kimlik doğrulamanın tipik bir örneği, sizi öncelikle plastik kartınızla ve ikinci olarak girdiğiniz pin koduyla tanıyan geleneksel bir ATM'nin çalışmasıdır. OTP sisteminde kimlik doğrulama ayrıca bir pin kodu ve kişisel kartınızı gerektirir.

Bir "kart" (belirteç), (rastgele) benzersiz, tek seferlik bir parola oluşturan bir donanım veya yazılım aracıdır. Bir bilgisayar korsanı bu şifreyi bir sniffer kullanarak öğrenirse, bu bilgi işe yaramaz çünkü o anda şifre zaten kullanılmış ve geçersiz olacaktır.

Bu koklamayla mücadele yönteminin yalnızca parolaların ele geçirildiği durumlarda etkili olduğunu unutmayın. Diğer bilgileri (e-posta mesajları gibi) yakalayan algılayıcılar, etkinliklerini kaybetmezler.

Anahtarlamalı Altyapı. Ağ ortamınızda paket dinleme ile başa çıkmanın başka bir yolu da anahtarlamalı bir altyapı oluşturmaktır. Örneğin, tüm kuruluş anahtarlamalı Ethernet kullanıyorsa, bilgisayar korsanları yalnızca bağlı oldukları bağlantı noktasından gelen trafiğe erişebilir. Anahtarlamalı bir altyapı, koklama tehdidini ortadan kaldırmaz, ancak ciddiyetini büyük ölçüde azaltır.

Koku önleyiciler. Koklama ile başa çıkmanın üçüncü yolu, ağınızda çalışan algılayıcıları tanıyan donanım veya yazılım yüklemektir. Bu araçlar tehdidi tamamen ortadan kaldıramaz, ancak diğer birçok ağ güvenlik aracı gibi genel koruma sistemine dahil edilirler. Anti-sniffer'lar, ana bilgisayarların yanıt süresini ölçer ve ana bilgisayarların fazladan trafik işlemesi gerekip gerekmediğini belirler. LOpht Heavy Industries tarafından sağlanan böyle bir araca AntiSniff adı verilir.

Kriptografi. Bu, paket koklama ile başa çıkmanın en etkili yoludur, araya girmeyi engellemese ve koklayıcıların işini tanımasa da, bu işi işe yaramaz hale getirir. İletişim kanalı kriptografik olarak güvenliyse, bilgisayar korsanı mesajı değil şifreli metni (yani anlaşılmaz bir bit dizisi) yakalar. Cisco'nun ağ katmanı şifrelemesi, IP protokolünü kullanan cihazlar arasında güvenli iletişim için standart bir yöntem olan IPSec protokolünü temel alır. Diğer kriptografik ağ yönetimi protokolleri, SSH (Secure Shell) ve SSL (Secure Socket Layer) protokollerini içerir.

IP sahtekarlığı

IP sahtekarlığı, bir şirket içinden veya dışından bir bilgisayar korsanının kendisini yetkili kullanıcı olarak tanıttığı zaman meydana gelir. Bu iki şekilde yapılabilir: Bilgisayar korsanı, yetkili IP adresleri aralığındaki bir IP adresini veya belirli ağ kaynaklarına erişmesine izin verilen yetkili bir harici adresi kullanabilir.

IP yanıltma saldırıları genellikle diğer saldırıların başlangıç ​​noktasıdır. Klasik bir örnek, bilgisayar korsanının gerçek kimliğini gizleyen başka birinin adresiyle başlayan bir DoS saldırısıdır.

Tipik olarak, IP sahtekarlığı, bir istemci ile sunucu uygulaması arasında veya eşler arasındaki bir iletişim kanalı üzerinden iletilen normal bir veri akışına yanlış bilgi veya kötü amaçlı komutlar eklemekle sınırlıdır.

İki yönlü iletişim için, bir bilgisayar korsanının trafiği sahte bir IP adresine yönlendirmek için tüm yönlendirme tablolarını değiştirmesi gerekir. Bununla birlikte, bazı bilgisayar korsanları uygulamalardan yanıt almaya bile çalışmazlar - asıl amaç sistemden önemli bir dosya almaksa, o zaman uygulamaların yanıtlarının önemi yoktur.

Bilgisayar korsanı, yönlendirme tablolarını değiştirmeyi ve trafiği sahte bir IP adresine yönlendirmeyi başarırsa, tüm paketleri alacak ve yetkili bir kullanıcıymış gibi yanıt verebilecektir.

Kimlik sahtekarlığı tehdidi aşağıdaki önlemlerle azaltılabilir (ancak ortadan kaldırılamaz):

• Giriş kontrolu. IP sahtekarlığını önlemenin en kolay yolu, erişim kontrolünü uygun şekilde yapılandırmaktır. IP sahtekarlığının etkinliğini azaltmak için, ağınızın içinde bulunması gereken bir kaynak adrese sahip harici bir ağdan gelen trafiği kesmek için erişim denetimini yapılandırın.

  Doğru, bu, yalnızca dahili adresler yetkilendirildiğinde IP sahtekarlığıyla mücadeleye yardımcı olur; bazı harici ağ adresleri de yetkilendirilirse, bu yöntem verimsiz hale gelir;

• RFC 2827'yi filtreleme. Ağ kullanıcılarınızın diğer kişilerin ağlarını taklit etmelerini engelleyebilirsiniz (ve iyi bir ağ vatandaşı olabilirsiniz). Bunu yapmak için, kaynak adresi kuruluşunuzun IP adreslerinden biri olmayan herhangi bir giden trafiği reddetmeniz gerekir.

  RFC 2827 olarak bilinen bu tür filtreleme, ISP'niz tarafından da gerçekleştirilebilir. Sonuç olarak, belirli bir arayüzde beklenen bir kaynak adresi olmayan tüm trafik reddedilir. Örneğin, bir ISP, 15.1.1.0/24 IP adresine bir bağlantı sağlıyorsa, filtreyi, o arabirimden ISP yönlendiricisine yalnızca 15.1.1.0/24'ten gelen trafiğe izin verecek şekilde yapılandırabilir.

Tüm sağlayıcılar bu tür filtreleme uygulayana kadar etkinliğinin mümkün olandan çok daha düşük olacağını unutmayın. Ayrıca, filtrelenen cihazlardan ne kadar uzaksa, doğru filtreleme yapmak o kadar zor olur. Örneğin, erişim yönlendirici seviyesinde RFC 2827 filtreleme, tüm trafiğin ana ağ adresinden (10.0.0.0/8) geçmesini gerektirirken, dağıtım seviyesinde (bu mimaride) trafiği daha kesin olarak kısıtlamak mümkündür (adres - 10.1.5.0/24).

IP sahtekarlığıyla mücadele etmenin en etkili yöntemi, paket koklama durumundakiyle aynıdır: saldırıyı tamamen etkisiz hale getirmeniz gerekir. IP sahtekarlığı, yalnızca kimlik doğrulama IP adreslerine dayalıysa çalışabilir.

Bu nedenle, ek kimlik doğrulama yöntemlerinin getirilmesi, bu tür saldırıları işe yaramaz hale getirir. En iyi ek kimlik doğrulama türü kriptografiktir. Bu mümkün değilse, tek seferlik parolalar kullanılarak iki faktörlü kimlik doğrulama iyi sonuçlar verebilir.

Hizmet Reddi

Hizmet Reddi (DoS), şüphesiz en iyi bilinen bilgisayar korsanlığı biçimidir. Ayrıca bu tür saldırılara karşı yüzde yüz koruma oluşturmak en zor olanıdır. Bilgisayar korsanları arasında DoS saldırıları çocuk oyuncağı olarak kabul edilir ve DoS minimum bilgi ve beceri gerektirdiğinden, kullanımları küçümseyici sırıtışlara neden olur.

Bununla birlikte, ağ güvenlik yöneticilerinin dikkatini çeken, uygulama kolaylığı ve DoS'a neden olan hasarın çok büyük boyutudur. DoS saldırıları hakkında daha fazla bilgi edinmek istiyorsanız, en ünlü çeşitlerine bir göz atmalısınız:

• TCP SYN Taşması;
• Ölüm Pingi;
• Kabile Taşkın Ağı (TFN) ve Kabile Taşkın Ağı 2000 (TFN2K);
• Trinko;
• Stacheldracht;
• Trinity.

Mükemmel bir güvenlik bilgisi kaynağı, DoS saldırılarıyla mücadele konusunda mükemmel çalışmalar yayınlayan Bilgisayar Acil Durum Müdahale Ekibidir (CERT).

DoS saldırıları diğer saldırı türlerinden farklıdır. Ağınıza erişim sağlamak veya bu ağdan herhangi bir bilgi almak için tasarlanmamışlardır, ancak bir DoS saldırısı, ağ, işletim sistemi veya uygulamanın izin verilen sınırlarını aşarak ağınızı normal kullanım için kullanılamaz hale getirir.

Bazı sunucu uygulamalarında (Web sunucusu veya FTP sunucusu gibi) DoS saldırıları, bu uygulamalar için mevcut olan tüm bağlantıları alabilir ve onları meşgul ederek sıradan kullanıcılara hizmet verilmesini engelleyebilir. DoS saldırıları, TCP ve ICMP ( İnternet Kontrol Mesajı Protokolü).

Çoğu DoS saldırısı, yazılım hatalarını veya güvenlik açıklarını değil, sistem mimarisindeki genel zayıflıkları hedefler. Bazı saldırılar, ağ performansını istenmeyen ve gereksiz paketlerle doldurarak veya ağ kaynaklarının mevcut durumunu yanlış tanıtarak geçersiz kılar.

ISP ile koordinasyon gerektirdiğinden bu tür saldırıları önlemek zordur. Ağınızı aşması amaçlanan sağlayıcıdaki trafiği durdurmazsanız, tüm bant genişliği işgal edileceği için bunu artık ağın girişinde yapamazsınız. Bu tür bir saldırı aynı anda birçok cihaz üzerinden gerçekleştirildiğinde, dağıtılmış bir DoS (dağıtılmış DoS, DDoS) saldırısından bahsediyoruz.

DoS saldırılarının tehdidi üç şekilde azaltılabilir:

• Adres sahteciliğine karşı koruma özellikleri. Yönlendiricilerinizdeki ve güvenlik duvarlarındaki kimlik sahtekarlığına karşı koruma özelliklerini doğru bir şekilde yapılandırmak, DoS riskini azaltmaya yardımcı olacaktır. Bu özellikler en azından RFC 2827 filtrelemeyi içermelidir.Bir bilgisayar korsanı gerçek kimliğini gizleyemediği sürece bir saldırı başlatmaya cesaret etmesi pek olası değildir.
• Anti-DoS özellikleri. Yönlendiriciler ve güvenlik duvarlarında anti-DoS özelliklerinin uygun şekilde yapılandırılması, saldırıların etkinliğini sınırlayabilir. Bu özellikler genellikle herhangi bir zamanda yarı açık kanalların sayısını sınırlar.
• Trafik hızı sınırlaması. Kuruluş, sağlayıcıdan (ISS) trafik miktarını sınırlamasını isteyebilir. Bu tür filtreleme, ağınızdan geçen kritik olmayan trafik miktarını sınırlamanıza olanak tanır. Tipik bir örnek, yalnızca teşhis amacıyla kullanılan ICMP trafiği miktarını sınırlamaktır. (D)DoS saldırıları genellikle ICMP kullanır.

Şifre saldırıları

Bilgisayar korsanları, kaba kuvvet saldırısı, Truva atı, IP sızdırma ve paket koklama gibi çeşitli yöntemler kullanarak parola saldırıları gerçekleştirebilir. Oturum açma ve parola genellikle IP sahtekarlığı ve paket koklama kullanılarak elde edilebilse de, bilgisayar korsanlarının birden çok erişim girişimi kullanarak parolayı tahmin etmeye ve oturum açmaya çalışması alışılmadık bir durum değildir. Bu yaklaşıma basit numaralandırma (kaba kuvvet saldırısı) denir.

Genellikle, böyle bir saldırı, paylaşılan bir kaynağa (örneğin bir sunucuya) erişmeye çalışan özel bir program kullanır. Sonuç olarak, bilgisayar korsanına kaynaklara erişim verilirse, şifresi tahmin edilen normal bir kullanıcı olarak alır.

Bu kullanıcının önemli erişim ayrıcalıkları varsa, bir bilgisayar korsanı, kullanıcı parolasını ve giriş bilgilerini değiştirse bile çalışacak gelecekteki erişim için bir "ağ geçidi" oluşturabilir.

Başka bir sorun, kullanıcılar birçok sisteme erişmek için aynı (hatta çok iyi bir parola) şifre kullandıklarında ortaya çıkar: kurumsal, kişisel ve İnternet sistemleri. Şifrenin gücü en zayıf hostun gücüne eşit olduğu için bu host üzerinden şifreyi öğrenen bir hacker aynı şifrenin kullanıldığı diğer tüm sistemlere giriş hakkı kazanır.

Düz metin parolalar kullanılmayarak parola saldırılarından kaçınılabilir. Tek seferlik parolalar ve/veya kriptografik kimlik doğrulama, bu tür saldırıların tehdidini fiilen ortadan kaldırabilir. Ne yazık ki, tüm uygulamalar, ana bilgisayarlar ve cihazlar yukarıdaki kimlik doğrulama yöntemlerini desteklemez.

Normal şifreler kullanırken, tahmin edilmesi zor olacak bir şifre bulmaya çalışın. Minimum parola uzunluğu en az sekiz karakter olmalıdır. Parola büyük harf, sayı ve özel karakter (#, %, $, vb.) içermelidir.

En iyi parolaları tahmin etmesi ve hatırlaması zor olan parolalar, kullanıcıları bunları bir kağıda yazmaya zorlar. Bunu önlemek için, kullanıcılar ve yöneticiler bir dizi son teknolojik gelişmeden yararlanabilirler.

Örneğin, bir cep bilgisayarında saklanabilen bir parola listesini şifreleyen uygulamalar vardır. Sonuç olarak, kullanıcının yalnızca bir karmaşık parolayı hatırlaması gerekirken, diğer tüm parolalar uygulama tarafından güvenli bir şekilde korunacaktır.

Yönetici için, parolaları tahmin etmenin birkaç yöntemi vardır. Bunlardan biri, bilgisayar korsanları tarafından Windows NT ortamlarında parolaları tahmin etmek için sıklıkla kullanılan L0phtCrack aracını kullanmaktır. Bu araç, kullanıcı tarafından seçilen şifrenin tahmin edilmesinin kolay olup olmadığını size hızlı bir şekilde gösterecektir. Daha fazla bilgi http://www.l0phtcrack.com/ adresinde bulunabilir.

Ortadaki Adam saldırıları

Ortadaki Adam saldırısı için, bir bilgisayar korsanının ağ üzerinden gönderilen paketlere erişmesi gerekir. Sağlayıcıdan başka herhangi bir ağa iletilen tüm paketlere bu tür erişim, örneğin bu sağlayıcının bir çalışanı tarafından elde edilebilir. Bu tür saldırılar için genellikle paket dinleyicileri, taşıma protokolleri ve yönlendirme protokolleri kullanılır.

Saldırılar, bilgi çalmak, mevcut oturumu kesmek ve özel ağ kaynaklarına erişim elde etmek, trafiği analiz etmek ve ağ ve kullanıcıları hakkında bilgi edinmek, DoS saldırıları gerçekleştirmek, iletilen verileri bozmak ve ağ oturumlarına yetkisiz bilgiler girmek için gerçekleştirilir.

Ortadaki Adam saldırıları, yalnızca kriptografi kullanılarak etkili bir şekilde çözülebilir. Bir bilgisayar korsanı şifreli bir oturumun verilerini ele geçirirse, ekranda ele geçirilen bir mesaj değil, anlamsız bir karakter dizisi olacaktır. Bir bilgisayar korsanı bir kriptografik oturum hakkında bilgi (örneğin, bir oturum anahtarı) elde ederse, bunun şifreli bir ortamda bile Ortadaki Adam saldırısını mümkün kılabileceğini unutmayın.

Uygulama Katmanı Saldırıları

Uygulama katmanı saldırıları birkaç şekilde gerçekleştirilebilir. Bunlardan en yaygın olanı, sunucu yazılımlarındaki (sendmail, HTTP, FTP) iyi bilinen zayıflıklardan yararlanmaktır. Bilgisayar korsanları, bu zayıflıkları kullanarak, uygulamayı çalıştıran kullanıcı adına bilgisayara erişim sağlayabilir (genellikle bu basit bir kullanıcı değil, sistem erişim haklarına sahip ayrıcalıklı bir yöneticidir).

Uygulama katmanı saldırıları, yöneticilere sorunu düzeltici modüller (yamalar) ile çözme fırsatı vermek için yaygın olarak yayınlanır. Ne yazık ki, birçok bilgisayar korsanının da bu bilgilere erişimi vardır ve bu da kendilerini geliştirmelerine olanak tanır.

Uygulama katmanı saldırılarıyla ilgili temel sorun, bilgisayar korsanlarının genellikle güvenlik duvarından geçmesine izin verilen bağlantı noktalarını kullanmasıdır. Örneğin, bir Web sunucusundaki iyi bilinen bir zayıflıktan yararlanan bir bilgisayar korsanı, bir TCP saldırısında genellikle 80 numaralı bağlantı noktasını kullanır.Bir Web sunucusu, Web sayfalarını kullanıcılara gösterdiğinden, güvenlik duvarının bu bağlantı noktasına erişim sağlaması gerekir. Güvenlik duvarının bakış açısından, saldırı 80 numaralı bağlantı noktasında standart trafik olarak değerlendirilir.

Uygulama katmanı saldırılarını tamamen ortadan kaldırmak mümkün değildir. Bilgisayar korsanları sürekli olarak İnternet'te yeni uygulama güvenlik açıkları keşfediyor ve yayınlıyor. Buradaki en önemli şey iyi bir sistem yönetimidir. Bu tür saldırılara karşı savunmasızlığınızı azaltmak için atabileceğiniz bazı adımlar şunlardır:

• işletim sistemi günlük dosyalarını ve ağ günlük dosyalarını okuyun ve/veya bunları özel analitik uygulamalar kullanarak analiz edin;
• uygulama güvenlik açığı raporlama hizmetine abone olun: Bugtrad (http://www.securityfocus.com ).

ağ zekası

Ağ zekası, halka açık veri ve uygulamaları kullanarak ağ hakkında bilgi toplanmasıdır. Bir ağa karşı bir saldırı hazırlarken, bir bilgisayar korsanı genellikle ağ hakkında mümkün olduğu kadar çok bilgi almaya çalışır. Ağ keşfi, DNS sorguları, ping'ler ve bağlantı noktası taramaları biçimini alır.

DNS sorguları, belirli bir etki alanının kime ait olduğunu ve bu etki alanına hangi adreslerin atandığını anlamanıza yardımcı olur. DNS tarafından keşfedilen adreslere ping atmak, belirli bir ortamda gerçekte hangi ana bilgisayarların çalıştığını görmenizi sağlar. Bir ana bilgisayar listesi verildiğinde, bilgisayar korsanı, bu ana bilgisayarlar tarafından desteklenen hizmetlerin tam bir listesini derlemek için bağlantı noktası tarama araçlarını kullanır. Son olarak bilgisayar korsanı, ana bilgisayarlarda çalışan uygulamaların özelliklerini analiz eder. Sonuç olarak, bilgisayar korsanlığı için kullanılabilecek bilgiler elde eder.

Ağ zekasından tamamen kurtulmak imkansızdır. Örneğin, çevresel yönlendiricilerde ICMP ping ve yankı yanıtını devre dışı bırakırsanız, ping işleminden kurtulursunuz, ancak ağ arızalarını teşhis etmek için gereken verileri kaybedersiniz.

Ek olarak, bağlantı noktalarını önce onlara ping atmadan tarayabilirsiniz - var olmayan IP adreslerinin de taranması gerekeceğinden, yalnızca daha fazla zaman alacaktır. Ağ ve ana bilgisayar düzeyindeki IDS sistemleri genellikle devam eden ağ keşiflerini yöneticiye bildirmekte iyidir, bu da onların yaklaşan bir saldırıya daha iyi hazırlanmalarına ve ağında aşırı merak uyandıran bir sistemin kurulu olduğu ISP'ye bildirimde bulunmalarına olanak tanır:

1. işletim sistemlerinin ve uygulamaların en son sürümlerini ve en son düzeltme modüllerini (yamaları) kullanın;
2. Sistem yönetimine ek olarak, iki tamamlayıcı kimlik teknolojisi olan İzinsiz Giriş Tespit Sistemlerini (IDS) kullanın:
   • Ağ Kimlikleri (NIDS), belirli bir etki alanından geçen tüm paketlerin kaydını tutar. NIDS sistemi, bilinen veya olası bir saldırının imzasıyla eşleşen bir paket veya paket dizisi gördüğünde, bir alarm üretir ve/veya oturumu sonlandırır;
   • IDS sistemi (HIDS), ana bilgisayarı yazılım aracılarıyla korur. Bu sistem yalnızca tek bir ana bilgisayara yönelik saldırılarla savaşır.

IDS sistemleri çalışmalarında, belirli saldırıların veya saldırı türlerinin profilleri olan saldırı imzalarını kullanır. İmzalar, trafiğin hacker trafiği olarak kabul edildiği koşulları tanımlar. Fiziksel dünyadaki IDS analogları, bir uyarı sistemi veya bir gözetleme kamerası olarak kabul edilebilir.

IDS'nin en büyük dezavantajı, alarm üretme yetenekleridir. Yanlış alarm sayısını en aza indirmek ve IDS sisteminin ağda doğru çalışmasını sağlamak için bu sistemin dikkatli bir şekilde ayarlanması gerekir.

güven suistimali

Açıkça söylemek gerekirse, bu tür bir eylem, kelimenin tam anlamıyla bir saldırı veya saldırı değildir. Ağda var olan güven ilişkilerinin kötü niyetli bir şekilde kullanılmasıdır. Bu tür kötüye kullanımın klasik bir örneği, bir şirket ağının ucundadır.

Bu segment genellikle DNS, SMTP ve HTTP sunucularını barındırır. Hepsi aynı segmente ait olduğu için, bu sunucular kendi ağlarındaki diğer sistemlere güvendiğinden, herhangi birinin ihlali diğerlerinin de ihlaline yol açar.

Başka bir örnek, kendi içinde kurulu bir sistemle bir güven ilişkisine sahip olan bir güvenlik duvarının dışına kurulmuş bir sistemdir. Harici bir sistemin saldırıya uğraması durumunda, bilgisayar korsanı güvenlik duvarı tarafından korunan bir sisteme girmek için güven ilişkilerini kullanabilir.

Ağınızdaki güven düzeylerini daha sıkı kontrol ederek güven ihlali riskini azaltabilirsiniz. Güvenlik duvarının dışında bulunan sistemlere, hiçbir koşulda, güvenlik duvarı tarafından korunan sistemler tarafından kesinlikle güvenilmemelidir.

Güven ilişkileri belirli protokollerle sınırlandırılmalı ve mümkünse yalnızca IP adresleriyle değil, diğer parametrelerle de kimlik doğrulaması yapılmalıdır.

bağlantı noktası yönlendirme

Bağlantı noktası iletme, güvenliği ihlal edilmiş bir ana bilgisayarın, normalde reddedileceği kesin olan bir güvenlik duvarından trafik göndermek için kullanıldığı bir güven ihlali biçimidir. Her biri belirli bir ana bilgisayara bağlı üç arabirimli bir güvenlik duvarı düşünün.

Harici ana bilgisayar, paylaşılan ana bilgisayara (DMZ) bağlanabilir, ancak güvenlik duvarının içinde kurulu olan ana bilgisayara bağlanamaz. Paylaşılan bir ana bilgisayar hem dahili hem de harici ana bilgisayarlara bağlanabilir. Bir bilgisayar korsanı genel bir ana bilgisayarı ele geçirirse, trafiği harici ana bilgisayardan doğrudan dahili ana bilgisayara yönlendiren bir araç yükleyebilir.

Yönlendirme, ekrandaki kuralların hiçbirini ihlal etmese de, harici ana bilgisayarın korunan ana bilgisayara doğrudan erişmesini sağlar. Bu erişimi sağlayabilecek bir uygulama örneği netcat'tir. Daha fazla bilgi için lütfen http://www.avian.org adresini ziyaret edin.

Port yönlendirme ile başa çıkmanın ana yolu, güçlü güven modelleri kullanmaktır (önceki bölüme bakın). Ek olarak, bir ana bilgisayar IDS sistemi (HIDS), bir bilgisayar korsanının yazılımlarını bir ana bilgisayara yüklemesini engelleyebilir.

Yetkisiz Erişim

Yetkisiz erişim, ayrı bir saldırı türü olarak seçilemez, çünkü ağ saldırılarının çoğu tam olarak yetkisiz erişim elde etmek amacıyla gerçekleştirilir. Bir Telnet girişini almak için, bir bilgisayar korsanının önce sisteminde bir Telnet ipucu alması gerekir. Telnet portuna bağlandıktan sonra ekranda “Bu kaynağı kullanmak için yetkilendirme gerekiyor” (“Bu kaynağı kullanmak için yetkilendirme gerekiyor”) mesajı çıkıyor. Bu kaynağı kullanmak için yetkilendirme gereklidir.»).

Bundan sonra bilgisayar korsanı erişim girişiminde bulunmaya devam ederse yetkisiz olarak kabul edilecektir. Bu tür saldırıların kaynağı hem ağın içinde hem de dışında olabilir.

Yetkisiz erişimle mücadele etmenin yolları oldukça basittir. Buradaki ana şey, bir bilgisayar korsanının yetkisiz bir protokol kullanarak sisteme erişme yeteneğini azaltmak veya tamamen ortadan kaldırmaktır.

Örnek olarak, bilgisayar korsanlarının harici kullanıcılara Web hizmetleri sağlayan bir sunucudaki Telnet bağlantı noktasına erişmesini engellemeyi düşünün. Bu bağlantı noktasına erişim olmadan, bir bilgisayar korsanı ona saldıramaz. Güvenlik duvarına gelince, ana görevi en basit yetkisiz erişim girişimlerini engellemektir.

Virüsler ve Truva atı uygulamaları

Son kullanıcı iş istasyonları virüslere ve Truva atlarına karşı çok savunmasızdır. Virüsler, son kullanıcının iş istasyonunda bazı istenmeyen işlevleri gerçekleştirmek için kendilerini diğer programlara enjekte eden kötü amaçlı programlardır. Bir örnek, kendisini komut.com dosyasına (Windows sistemleri için ana yorumlayıcı) yazan ve diğer dosyaları silen ve bulduğu tüm diğer komut.com sürümlerini etkileyen bir virüstür.

Truva atı bir yazılım eki değil, ilk bakışta yararlı bir uygulama gibi görünen, ancak gerçekte zararlı bir rol oynayan gerçek bir programdır. Tipik bir Truva atı örneği, kullanıcının iş istasyonu için basit bir oyun gibi görünen bir programdır.

Ancak kullanıcı oyunu oynarken program kendisinin bir kopyasını kullanıcının adres defterindeki her aboneye e-posta ile gönderir. Tüm aboneler oyunu posta yoluyla alır ve bu da daha fazla dağıtımına neden olur.

Virüsler ve Truva atları, kullanıcı düzeyinde ve muhtemelen ağ düzeyinde çalışan etkili antivirüs yazılımlarıyla savaşılır. Antivirüs araçları çoğu virüsü ve Truva atını algılar ve yayılmalarını engeller.

Virüsler hakkında en güncel bilgileri almak, onlarla daha etkili bir şekilde başa çıkmanıza yardımcı olacaktır. Yeni virüsler ve Truva atları ortaya çıktıkça, işletmenin antivirüs araçlarının ve uygulamalarının yeni sürümlerini yüklemesi gerekir.

Bu yazı yazılırken Cisco Systems tarafından sağlanan materyaller kullanılmıştır.

İyi kötü