Автор статьи
Валерия
Эксперт по сдаче вступительных испытаний в ВУЗах
1 2
2 СЕТЕВЫЕ АТАКИ, МЕТОДЫ ПРОТИВОДЕЙСТВИЯ АТАКАМ
2.1 Техники атак на сетевом уровне и защита от них
Сетевые атаки отличаются от систем, на которые они нацелены. Чтобы оценить типы атак, необходимо знать некоторые ограничения, присущие протоколу TPC/IP. Интернет был создан для общения между государственными органами и университетами, а также для поддержки образовательного процесса и научных исследований. Создатели этой сети не подозревали, насколько широко она распространится. В результате в спецификациях более ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Вот почему многие реализации IP изначально уязвимы. Спустя много лет, получив много жалоб (RFC — Request for Comments), наконец-то начали внедрение средства безопасности для IP. Однако из-за того, что изначально для протокола IP не было разработано никаких мер безопасности, все его реализации стали дополняться различными сетевыми процедурами, услугами и продуктами, которые снижают риски, присущие этому протоколу. Далее кратко рассмотрим типы атак, которые обычно используются против IP-сетей, и перечислим, как с ними бороться.2.2 Снифферы пакетов
Снифферы пакетов — это прикладная программа, использующая сетевую карту, которая работает в случайном режиме (в этом режиме все пакеты, полученные по физическим каналам, отправляются из сетевого адаптера в приложение для обработки). В этом случае анализатор перехватывает все сетевые пакеты, которые передаются по определенному домену. Снифферы в настоящее время работают в сетях на абсолютно законной основе. Они используются для устранения неполадок и анализа трафика. В связи с тем, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), анализатор можно использовать для обнаружения полезной и иногда конфиденциальной информации (такой как имена пользователей и пароли). Перехват имен и паролей представляет большую опасность, поскольку пользователи часто используют одно и то же имя пользователя и пароль для нескольких приложений и систем. Многие пользователи обычно имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атаки часто основаны на методах социальной инженерии) [5]. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:- Строгая аутентификация — это первый способ защиты от перехвата пакетов. Под «строгая» подразумевается метод аутентификации, который трудно обойти. Одноразовые пароли (OTP) являются примером такой аутентификации. OTP — это технология двухфакторной аутентификации, которая сочетает в себе то, что есть у пользователя, с тем, что он уже знает. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который распознает пластиковую карту и введенный PIN-код. Для аутентификации в системе OTP также потребуется PIN-код и личная карточка пользователя. «Токен» — это аппаратный или программный инструмент, который (случайным образом) генерирует уникальный одноразовый пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация не может быть использована, поскольку пароль уже был использован и больше использоваться не будет. Важно иметь в виду, что этот метод противодействия прослушиванию эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, электронные письма), не теряют своей эффективности.
- Коммутируемая инфраструктура — еще один способ борьбы с перехватом пакетов в сетевой среде — это создание инфраструктуры удаленного доступа. Например, если на предприятии используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, который поступает на порт, к которому они подключены. Инфраструктура удаленного доступа не устраняет угрозу сниффинга, но заметно снижает ее остроту.
- Анти-снифферы — это установка аппаратного или программного обеспечения, которое обнаруживает отслеживание, выполняемое в сети. Эти инструменты не могут полностью устранить угрозу, но, как и многие другие инструменты сетевой безопасности, они включены в общую систему защиты. Так называемые «анти-снифферы» измеряют время ответа хостов и определяют, нужно ли хостам обрабатывать «чрезмерный» трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
- Криптография – самый эффективный метод борьбы с анализом пакетов, он не предотвращает анализ и не распознает работу анализаторов, но делает эту функцию непригодной для использования. Если канал связи криптографически защищен, это означает, что хакер не будет перехватывать сообщение, а зашифрованный текст (то есть неразборчивую последовательность битов). Криптография на уровне сети Cisco основана на IPSec.
2.3 IP-спуфинг
IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее выдает себя за санкционированного пользователя. Например, хакер может использовать IP-адрес, чтобы разрешить доступ к определенным сетевым ресурсам. Так атаки на IP-адреса часто являются отправной точкой для других атак. Классическим примером может служить DoS-атака, где чужой адрес скрывает истинную личность хакера. Обычно подмена IP-адресов ограничивается включением неверной информации или вредоносных команд в обычный поток данных, который передается между клиентскими и серверными приложениями или по каналу связи между равноправными устройствами. Для двунаправленной связи хакер должен изменить все таблицы маршрутизации для направления трафика на неверный IP-адрес. Однако некоторые хакеры даже не пытаются получить ответ из приложений. Если основной задачей является получение важного файла, ответы приложения не имеют значения. Если хакеру удастся изменить таблицы маршрутизации и перенаправить трафик на неверный IP-адрес, хакер получит все пакеты и ответит, как если бы он был авторизованным пользователем. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:- Контроль доступа — самый простой способ предотвращения IP-спуфинга, который состоит в правильной настройке управления доступом. Чтобы снизить эффективность подмены IP-адресов, требуется настроить контроль доступа, таким образом, чтобы обрезать трафик из внешней сети по адресу источника, который должен находиться в сети. Это помогает бороться со спуфингом IP, когда авторизуются только внутренние адреса. Если авторизованы некоторые внешние сетевые адреса, этот метод становится неэффективным.
- Фильтрация RFC 2827 — можно прекратить попытки фальсифицировать сети других пользователей сети (и стать законным «сетевым гражданином»). Для этого требуется запретить исходящий трафик, исходный адрес которого не является одним из IP-адресов организации. Этот тип фильтрации, называемый RFC 2827, может быть выполнен Интернет-провайдером организации. В результате весь трафик, который не имеет ожидаемого адреса источника на определенном интерфейсе, отклоняется. Например, если интернет-провайдер предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы пропускать только трафик с адреса 15.1.1.0/24 от интерфейса к маршрутизатору ISP. Эффективность этого типа фильтрации намного ниже, чем это возможно, пока все поставщики не реализуют его. Кроме того, чем дальше от отфильтрованных устройств, тем сложнее выполнять точную фильтрацию.
- Наиболее эффективный способ обработки IP-спуфинга такой же, как и анализ пакетов — это сделать атаку совершенно неэффективной. IP-спуфинг может работать, только если аутентификация основана на IP-адресах. Поэтому введение дополнительных методов аутентификации делает этот тип атаки непригодным для использования. Лучшая форма дополнительной аутентификации — криптографическая аутентификация. Если это невозможно, двухфакторная аутентификация с использованием одноразовых паролей может дать хорошие результаты.
2.4 Отказ в обслуживании
Отказ в обслуживании (Denial of Service — DoS), несомненно, это самая известная форма хакерской атаки. Даже среди хакеров DoS-атаки считаются тривиальными, поскольку их организация требует лишь минимальных знаний и навыков. DoS-атаки отличаются от других типов атак. Они не предназначены для предоставления доступа к сети или для получения информации из этой сети. Они приводит к тому, что сеть становится недоступной для обычного использования, поскольку она превышает допустимые пределы для сети, операционной системы или приложения. Для некоторых серверных приложений (таких как веб-сервер или FTP-сервер) атаки DoS могут быть направлены на то, чтобы все соединения были доступны для этих приложений, и они были заняты, чтобы обычные пользователи больше не могли обслуживаться. DoS-атаки могут использовать традиционные интернет-протоколы, такие как TCP и протокол управляющих сообщений Интернета (ICMP). Большинство DoS-атак основаны не на программных ошибках или уязвимостях, а на общих уязвимостях архитектуры системы. Некоторые атаки нарушают производительность сети, перегружая их нежелательными и ненужными пакетами или сообщая неверную информацию о текущем состоянии сетевых ресурсов. Этот тип атаки трудно предотвратить, так как это требует координации с поставщиком. Если трафик, который должен быть перегружен сетью, не может быть остановлен провайдером, то это невозможно сделать и при входе в сеть, поскольку вся пропускная способность используется. Когда такая атака выполняется одновременно на нескольких устройствах, это называется распределенной атакой DoS (DDoS). Угроза DoS-атак может быть уменьшена тремя способами:- Функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS — правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема трафика (traffic rate limiting) — организация может попросить провайдера (ISP) ограничить объем трафика. С помощью этого типа фильтрации можно ограничить количество некритического трафика, проходящего через сеть. Типичным примером является ограничение трафика ICMP, которое используется только в целях диагностики. (D) DoS-атаки часто используют ICMP.
2.5 Парольные атаки
Хакеры могут выполнять парольные атаки, используя различные методы, такие как: атаки методом грубой силы, троянские программы, подмена IP-адресов и анализ пакетов. Хотя имя пользователя и пароль часто можно получить с помощью IP-спуфинга и перехвата пакетов, хакеры часто пытаются найти пароль и имя пользователя, пытаясь получить к нему доступ. Этот подход называется атакой грубой силы. Часто для такой атаки используется специальная программа, которая пытается получить доступ к общему ресурсу (например, серверу). Если хакер получит доступ к ресурсам, он получит его как обычный пользователь, чей пароль был выбран. Если этот пользователь имеет значительные права доступа, хакер может создать «паспорт» для будущего доступа, который действителен, даже если пользователь меняет свой пароль и логин. Другая проблема возникает, когда пользователи используют один и тот же (хотя и очень хороший) пароль для доступа ко многим системам: корпоративным, личным и интернет-системам. Поскольку надежность пароля является силой самого слабого хоста, хакер, который узнает пароль от этого хоста, получит доступ ко всем другим системам, используя тот же пароль. Парольных атак можно избежать, если не использовать пароли в текстовом виде. Одноразовые пароли и или криптографическая аутентификация могут практически исключить угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают вышеуказанные методы аутентификации. При использовании обычных паролей важно попытаться найти труднодоступный пароль. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен содержать заглавные буквы, цифры и специальные символы (#,%, $ и т. Д.). Лучшие пароли трудно найти и трудно запомнить, вынуждая пользователей писать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут воспользоваться рядом новейших технологических достижений. Например, существуют приложения, которые шифруют список паролей, которые можно сохранить на компьютере. В результате пользователь должен запомнить только сложный пароль, в то время как все остальные пароли надежно защищены приложением. С точки зрения администратора, существует несколько способов борьбы с подбором паролей. Один из них заключается в использовании средства LophtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT.2.6 Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, которые передаются провайдером в любую другую сеть, может быть получен, например, от сотрудника этого провайдера. Для атак этого типа обычно используются анализаторы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки выполняются для кражи информации, перехвата текущего сеанса и доступа к ресурсам частной сети, анализа трафика и получения информации о сети и ее пользователях, проведения DoS-атак, искажения передаваемых данных и ввода неавторизованной информации в сетевые сеансы. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Если же хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.2.7 Атаки на уровне приложений
Атаки на уровне приложений могут быть выполнены несколькими способами. Для их выполнения используются наиболее известные уязвимости в программном обеспечении сервера (sendmail, HTTP, FTP). Эти уязвимости позволяют хакерам получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это не простой пользователь, а привилегированный администратор с правами доступа к системе). Информация об атаках на уровне приложений часто публикуется, чтобы администраторы могли исправить проблему с помощью исправлений. К сожалению, многие хакеры также имеют доступ к этой информации, чтобы они могли учиться. Основная проблема с атаками на уровне приложений заключается в том, что они часто используют порты, которым разрешено проходить через брандмауэр. Например, хакер, использующий известную уязвимость веб-сервера, часто использует порт 80 во время атаки TCP. Поскольку веб-сервер предоставляет пользователям веб-страницы, брандмауэр должен разрешать доступ к этому порту. С точки зрения брандмауэра, атака считается трафиком по умолчанию для порта 80. Невозможно полностью устранить атаки на уровне приложений. Хакеры обнаруживают и публикуют все больше и больше уязвимостей в приложениях в Интернете. Самое главное это хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:- изучение лог-файлов операционных систем и сетевых лог-файлов и/или их анализ с помощью специальных аналитических приложений;
- подписка на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad (http://www.securityfocus.com) и CERT (http://www.cert.com);
- использование последних версий операционных систем и приложений, а также последних исправлений;
- Сетевая система IDS (NIDS) контролирует все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, которые соответствуют сигнатуре известной или вероятной атаки, она генерирует сигнал тревоги и / или завершает сеанс.
- Хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.
2.8 Сетевая разведка
Сетевая разведка — это сбор сетевой информации с использованием общедоступных данных и приложений. Готовясь к атаке на сеть, хакер обычно пытается получить как можно больше информации. Информация о сети предоставляется в форме DNS-запросов, пингов и сканирования портов. DNS-запросы помогают понять, кому принадлежит определенный домен и какие адреса назначены этому домену. Проводится сканирование адреса, разрешенные DNS, чтобы увидеть, какие хосты действительно работают в данной среде. Получив список хостов, хакер использует инструменты сканирования портов, чтобы создать полный список сервисов, поддерживаемых этими хостами. Наконец, хакер анализирует свойства приложений, работающих на хостах. Это даст информацию, которую можно использовать для взлома [10]. Невозможно полностью устранить сетевой интеллект. Например, отключение ICMP-эхо и эхо-ответа на периферийных маршрутизаторах позволяет избежать эхо-тестов, но при этом будут потеряны данные, необходимые для диагностики сбоев сети. Кроме того, можно сканировать порты без предварительного эхо-теста. Это займет больше времени, потому что не нужно сканировать существующие IP-адреса. На уровне сети и хоста системы IDS обычно хорошо предупреждают администратора о текущей сетевой разведке. Таким образом, можно лучше подготовиться к предстоящей атаке и уведомить провайдера (ISP), в сети которого установлена система [2, С. 42].2.9 Злоупотребление доверием
Фактически, этот тип действий не является «атакой». Это злонамеренное использование существующих доверительных отношений в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто размещаются DNS, SMTP и HTTP-серверы. Поскольку все они принадлежат к одному сегменту, взлом одного из них вызывает взлом всех остальных — потому что эти серверы доверяют другим системам в своей сети [7]. Другим примером является система, установленная за пределами брандмауэра и имеющая доверительные отношения с системой, установленной внутри брандмауэра. В случае взлома внешней системы хакер может использовать доверительные отношения для вторжения в систему, защищенную брандмауэром. Риск нарушения доверия может быть уменьшен за счет более строгого контроля уровня доверия в вашей сети. Системы вне брандмауэра никогда не должны пользоваться абсолютной уверенностью в системах, защищенных экраном. Трасты должны быть ограничены определенными протоколами и, если возможно, аутентифицироваться не только по IP-адресам, но и по другим параметрам.2.10 Несанкционированный доступ
Несанкционированный доступ не может рассматриваться как отдельная атака. Большинство сетевых атак выполняется для получения несанкционированного доступа. Чтобы получить логин Telnet, хакер должен сначала получить приглашение Telnet в своей системе. После подключения к порту Telnet на экране появляется сообщение «Требовать разрешения на использование этого ресурса» (требуется разрешение на использование этих ресурсов). Если хакер продолжает пытаться получить к ним доступ, они считаются «несанкционированными». Источник таких атак может быть внутри или за пределами сети. Способы борьбы с несанкционированным доступом довольно просты. Главное — уменьшить или исключить возможность хакера получить доступ к системе через несанкционированный протокол. Например, можно запретить хакерам доступ к порту telnet сервера, который предоставляет веб-сервисы внешним пользователям. Без доступа к этому порту хакер не сможет атаковать его. Основная задача брандмауэра — предотвратить самые простые попытки несанкционированного доступа.2.12 Вирусы и приложения типа «троянский конь»
Рабочие станции конечных пользователей очень уязвимы для вирусов и программ типа «троянский конь». Вирусы — это вредоносные программы, встроенные в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Примером является вирус, который вторгается в command.com (главный интерпретатор систем Windows), удаляет другие файлы и заражает все остальные найденные версии command.com. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, но на самом деле играет разрушительную роль. Примером типичного «троянского коня» является программа, которая выглядит как простая игра для рабочей станции пользователя. Пока пользователь играет в игру, программа отправит его копию по электронной почте каждому подписчику, указанному в адресной книге этого пользователя. Все подписчики получают игру по почте, что делает ее более доступной. Борьба с вирусами и «троянскими» программами происходит с помощью эффективного антивирусного программного обеспечения, работающего на уровне пользователя и, возможно, на уровне сети.ЗАКЛЮЧЕНИЕ
Сетевые атаки могут привести к отказу работоспособности любой системы, полной или частичной потере информации или ее модификации и многое другое. В связи с этим понимание и знание методов противодействия хакерским атакам может спасти ценные информационные ресурсы. В ходе написания курсовой работы рассмотрена эталонная модель ISO/OSI, описана ее необходимость и функции. Подробно описан каждый из уровней модели. Для достижения цели, поставленной в начале работы, изучены и проанализированы различные виды сетевых атак выполняемых на сетевом уровне модели OSI и приведены методы их противодействия.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
- Бахаров Л.Е. Информационная безопасность и защита информации / Л.Е. Бахаров. – М.: НИТУ МИСиС, 2018. – 450 с.
- Бирюков А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. – М.: ДМК-Пресс, 2017. – 269 с.
- Бройдо В.П. Вычислительные системы, сети и телекоммуникации В.П. Бройдо. – СПб.: Питер, 2017. — 703 с.
- Введение в информационную безопасность и защиту информации / Донской К.А. и др. – Новосибирск: НГТУ, 2018. – 250 с.
- Виды сетевых атак [Электронный ресурс]. – Режим доступа: http://certsrv.ru/kasperskym4.ru/8088.html
- Защита от сетевых атак [Электронный ресурс]. – Режим доступа: https://xserver.a-real.ru/support/useful/zashchita-ot-setevykh-atak/
- Защита от сетевых атак [Электронный ресурс]. – Режим доступа: https://help.kaspersky.com/KIS4Mac/16.0/ru.lproj/pgs/88075.htm
- Классификация сетевых атак [Электронный ресурс]. – Режим доступа: http://www.uch.ru/conf/tech/archive/5/1115/.
- Кулябов Д.С. Архитектура и принципы построения современных сетей и систем телекоммуникаций / Д.С. Кулябов, А.В. Королькова. – М.: РУДН, 2018. – 281 с.
- Мельников В.П. Информационная безопасность и защита информации / В.П. Мельников. – М.: Академия, 2017. – 336 с.
- Новиков Ю.В. Локальные сети: архитектура, алгоритмы, проектирование / Ю.В. Новиков, С.В. Кондратенко. – М.: ЭКОМ, 2016. – 308 с.
- Олифер В.Компьютерные сети: Принципы, технологии, протоколы. Учебник / В. Олифер, Н. Олифер. – СПб.: Питер, 2019. – 992 с.
- Садыков А.А. Сетевые технологии / А.А. Садыков. – М.: Хранитель 2016. – 193 с.
- Сетевые атаки и технологии их обнаружения [Электронный ресурс]. – Режим доступа: http://www.inf74.ru/safety/ofitsialno/setevyie-ataki-i-tehnologii-ih-obnaruzheniya/
- Таненбаум Э. Компьютерные сети [Электронный ресурс] / Э. Таненбаум. – Режим доступа: http://www.ipa.nw.ru/PAGE/aspirantura /literatura/tanenbaum.pdf
1 2
О сайте
Ссылка на первоисточник:
www.ncfu.ru/pedagogicheskiy-institut.html
Поделитесь в соцсетях: