Zajištění ochrany vos před útoky na počítačové sítě. Network Protection – druhá vrstva ochrany společnosti Symantec

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Podobné dokumenty

Zobecněný model procesu detekce útoků. Zdůvodnění a výběr řízených parametrů a softwaru pro vývoj systému detekce narušení. Hlavní hrozby a zranitelnosti. Použití systému detekce narušení v komutovaných sítích.

práce, přidáno 21.06.2011


Počítačové útoky a technologie pro jejich detekci. Síťové systémy pro vyhledávání útoků a firewallů. Softwarové nástroje pro bezpečnostní analýzu a reflexi hrozeb. Implementace softwarových nástrojů pro detekci útoků pro informační systém podniky.

semestrální práce, přidáno 16.03.2015


Metody detekce útoků na síťové a systémové úrovni. Administrativní metody ochrany proti různým typům vzdálených útoků. Oznámení o hackování. Reakce po invazi. Doporučení pro uchování informací a kontrolu nad nimi na internetu.

semestrální práce, přidáno 21.01.2011


Klasifikace síťových útoků podle úrovně modelu OSI, podle typu, podle umístění útočníka a napadeného objektu. Problém bezpečnosti IP sítí. Hrozby a zranitelnosti bezdrátové sítě. Klasifikace systémů detekce útoků IDS. Koncept XSpider.

semestrální práce, přidáno 11.4.2014


Metody boje proti síťovým útokům. Algoritmus akce na úrovni sítě. Metody implementace útoků na hesla. Man-in-the-Middle útoky. Síťová inteligence, neoprávněný přístup. Přesměrování portů. Aplikace virů a trojských koní.

semestrální práce, přidáno 20.04.2015


bezpečnostní problém operační systémy. Funkce subsystému zabezpečení. Identifikace uživatelů, softwarové hrozby (útoky). Typy síťových útoků. Životní cyklus bezpečný softwarových produktů. Hodnocení útoků na software.

prezentace, přidáno 24.01.2014


Způsoby aplikace technologií neuronových sítí v systémech detekce narušení. Expertní systémy pro detekci síťových útoků. Umělé sítě, genetické algoritmy. Výhody a nevýhody systémů detekce narušení založených na neuronových sítích.

test, přidáno 30.11.2015


Pohodlí a možnosti systému prevence útoků Snort, typy zásuvných modulů: preprocesory, detekční moduly, výstupní moduly. Metody detekce útoků a řetězce pravidel v systému Snort. Klíčové pojmy, princip činnosti a vestavěné akce iptables.

test, přidáno 17.01.2015

Síťová ochrana, která je nucena čekat na vytvoření fyzického souboru na počítači uživatele, začne analyzovat příchozí datové toky přicházející do počítače uživatele sítí a blokuje hrozby ještě před jejich vstupem do systému.

Hlavní oblasti ochrany sítě poskytované technologiemi Symantec jsou:

Drive-by stahování, webové útoky;
- Útoky typu " sociální inženýrství»: FakeAV (falešné antiviry) a kodeky;
- Útočí skrz sociální média jako Facebook;
- Detekce malware, rootkity a systémy infikované botami;
- Ochrana před sofistikovanými hrozbami;
- Zero Day Threats;
- Ochrana před neopravenými zranitelnostmi softwaru;
- Ochrana před škodlivými doménami a IP adresami.

Technologie ochrany sítě

Úroveň "Ochrana sítě" zahrnuje 3 různé technologie.

Řešení pro prevenci narušení sítě (Network IPS)

Síťová technologie IPS rozumí a skenuje více než 200 různých protokolů. Inteligentně a přesně „prolamuje“ binární a síťový protokol a hledá na cestě známky škodlivého provozu. Tato inteligence umožňuje přesnější skenování sítě, při poskytování spolehlivou ochranu. Jeho „srdcem“ je engine pro blokování exploitů, který poskytuje otevřeným zranitelnostem téměř neproniknutelnou ochranu. Jedinečnou vlastností Symantec IPS je, že tato součást nevyžaduje žádnou konfiguraci. Všechny jeho funkce fungují, jak se říká, „z krabice“. Každý spotřebitelský produkt Norton a každý produkt Symantec Endpoint Protection verze 12.1 a novější má tuto kritickou technologii ve výchozím nastavení povolenou.

Ochrana prohlížeče

Tento bezpečnostní modul se nachází uvnitř prohlížeče. Je schopen detekovat nejsložitější hrozby, které tradiční antivirus ani Network IPS nedokážou detekovat. V současné době mnoho síťových útoků používá techniky zatemňování, aby se zabránilo detekci. Protože Browser Guard běží uvnitř prohlížeče, je schopen prozkoumat dosud neskrytý (zatemněný) kód při jeho provádění. To vám umožní detekovat a blokovat útok, pokud byl přehlédnut na nižších úrovních ochrany programu.

Ochrana proti neoprávněnému stahování (UXP)

Poslední obranná linie, která se nachází uvnitř vrstvy ochrany sítě, pomáhá pokrýt a „zmírnit“ důsledky zneužití neznámých a neopravených zranitelností bez použití podpisů. To poskytuje další vrstvu ochrany proti útokům Zero Day.

Zaměření na problémy

Firewallové technologie společně řeší následující problémy.

Drive-by downloads a sady nástrojů pro webový útok

Technologie ochrany sítě společnosti Symantec využívající technologii Network IPS, Browser Protection a UXP blokují stahování Drive-by a ve skutečnosti zabraňují malwaru, aby se dokonce dostal do systému uživatele. Jsou praktikovány různé preventivní metody, které zahrnují použití stejných technologií, včetně technologie Generic Exploit Blocking a nástrojů pro detekci webových útoků. Běžný webový nástroj pro detekci narušení analyzuje charakteristiky běžného webového útoku bez ohledu na konkrétní zranitelnost, na kterou je útok zaměřen. To vám umožní poskytnout dodatečnou ochranu pro nové a neznámé zranitelnosti. Nejlepší na tomto typu ochrany je, že pokud škodlivý soubor mohl „v tichosti“ infikovat systém, stále by byl proaktivně zastaven a odstraněn ze systému: ostatně právě toto chování tradičním antivirovým produktům obvykle chybí. Symantec však nadále blokuje desítky milionů variant malwaru, které nelze běžně detekovat jinými prostředky.

Útoky sociálního inženýrství

Protože technologie Symantecu monitorují síťový provoz a provoz v prohlížeči při jeho přenosu, detekuje útoky sociálního inženýrství, jako je FakeAV nebo falešné kodeky. Technologie jsou navrženy tak, aby blokovaly takové útoky dříve, než se objeví na obrazovce uživatele. Většina ostatních konkurenčních řešení tuto výkonnou schopnost neobsahuje.

Společnost Symantec blokuje stovky milionů těchto útoků pomocí technologie ochrany před síťovými hrozbami.

Útoky zaměřené na aplikace sociálních médií

Aplikace sociálních médií v Nedávno se staly velmi žádanými, protože umožňují okamžitou výměnu různých zpráv, zajímavých videí a informací s tisíci přáteli a uživateli. Široká distribuce a potenciál těchto programů z nich činí cíl číslo jedna pro hackery. Mezi běžné „hackerské“ triky patří vytváření falešných účtů a spamování.

Technologie Symantec IPS může chránit před těmito typy podvádění a často k nim zabránit ještě předtím, než na ně uživatel vůbec klikne. Společnost Symantec zastavuje podvodné a falešné adresy URL, aplikace a další klamavé praktiky pomocí technologie Network Threat Protection.

Detekce malwaru, rootkitů a systémů infikovaných botami

Nebylo by hezké vědět, kde přesně se infikovaný počítač v síti nachází? Řešení Symantec IPS tuto schopnost poskytují, včetně detekce a obnovy těch hrozeb, kterým se možná podařilo obejít jiné vrstvy ochrany. Řešení společnosti Symantec detekují malware a roboty, kteří se pokoušejí automaticky vytáčet nebo stahovat „aktualizace“, aby zvýšili svou aktivitu v systému. To umožňuje IT manažerům, kteří mají jasný seznam systémů ke kontrole, zajistit, aby byl jejich podnik bezpečný. polymorfní a komplexní skryté hrozby které používají metody rootkit jako Tidserv, ZeroAccess, Koobface a Zbot lze pomocí této metody zastavit a odstranit.

Ochrana proti zatemněným hrozbám

Dnešní webové útoky využívají sofistikované techniky ke ztížení útoků. Ochrana prohlížeče společnosti Symantec je umístěna v prohlížeči a dokáže detekovat velmi sofistikované hrozby, které tradiční metody často neodhalí.

Zero-day hrozby a neopravená zranitelnosti

Jedním z minulých bezpečnostních přírůstků, které společnost přidala, je další vrstva ochrany proti hrozbám Day Zero a neopraveným zranitelnostem. Pomocí ochrany bez podpisu program zachycuje volání System API a chrání před stahováním malwaru. Tato technologie se nazývá Un-Authorized Download Protection (UXP). Jedná se o poslední obrannou linii v rámci ekosystému ochrany před síťovými hrozbami. To umožňuje produktu „zakrýt“ neznámá a neopravená zranitelnost bez použití podpisů. Tato technologie je ve výchozím nastavení povolena a byla nalezena ve všech produktech vydaných od debutu Norton 2010.

Ochrana proti neopraveným zranitelnostem softwaru

Škodlivé programy se často instalují bez vědomí uživatele a využívají zranitelnosti v softwaru. Symantec Network Security poskytuje další vrstvu ochrany nazvanou Generic Exploit Blocking (GEB). Ať už nainstalovaný Poslední aktualizace nebo ne, GEB "většinou" chrání hlavní zranitelnosti před zneužitím. Chyby zabezpečení v Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, internet Explorer, ovládací prvky ActiveX nebo QuickTime jsou nyní všudypřítomné. Generic Exploit Protection byla vytvořena „reverzním inženýrstvím“, kdy se zjistilo, jak lze zranitelnost v síti zneužít, a zároveň poskytuje speciální záplatu na úrovni sítě. Jediný GEB, neboli signatura zranitelnosti, může poskytnout ochranu proti tisícům variant malwaru, nových i neznámých.

Škodlivé IP adresy a blokování domén

Síťová ochrana společnosti Symantec také zahrnuje schopnost blokovat škodlivé domény a adresy IP a zároveň zastavit malware a provoz ze známých škodlivých stránek. Pečlivou analýzou a aktualizací databáze webových stránek společností STAR poskytuje Symantec ochranu v reálném čase proti neustále se měnícím hrozbám.

Vylepšená odolnost proti úniku

Byla přidána podpora pro další kódování, aby se zlepšil výkon detekce útoků pomocí šifrovacích technik, jako je base64 a gzip.

Detekce síťového auditu k vynucení zásad používání a identifikaci úniků dat

Síťové IPS lze použít k identifikaci aplikací a nástrojů, které mohou porušovat firemní zásady používání, nebo k zabránění úniku dat přes síť. Je možné detekovat, varovat nebo zabránit provozu jako IM, P2P, sociální média, nebo jiný „zajímavý“ typ provozu.

Komunikační protokol STAR Intelligence

Technologie ochrany sítě sama o sobě nefunguje. Engine komunikuje s ostatními bezpečnostními službami pomocí protokolu STAR Intelligence Communication (STAR ​​​​ICB). Síťový modul IPS se připojuje k modulu Symantec Sonar a poté k modulu Insight Reputation. To vám umožní poskytovat informativnější a přesnější ochranu.

V příštím článku se podíváme na úroveň "Behavior Analyzer".

Podle společnosti Symantec

Našli jste překlep? Vyberte a stiskněte Ctrl + Enter

Zvláště zajímavé jsou vzdálené síťové útoky. Zájem o tento typ útoku je způsoben tím, že distribuované systémy zpracování dat jsou ve světě stále rozšířenější. Většina uživatelů pracuje se vzdálenými prostředky pomocí Internetová síť a zásobník protokolu TCP/IP. Zpočátku byla síť INTERNET vytvořena pro komunikaci mezi vládními úřady a univerzitami, aby pomohla proces učení a vědecký výzkum a tvůrci této sítě netušili, jak moc se rozšíří. V důsledku toho dřívější specifikace internetového protokolu (IP) postrádaly bezpečnostní požadavky. To je důvod, proč je mnoho implementací IP inherentně zranitelných.

Kurz pokrývá následující útoky a jak se s nimi vypořádat.

Útok "Sniffing". Sniffer paketů je aplikační program, který používá síťovou kartu pracující v promiskuitním režimu (v tomto režimu jsou všechny pakety přijaté fyzickými kanály síťový adaptér odešle do žádosti ke zpracování). V tomto případě sniffer zachytí všechny síťové pakety, které jsou přenášeny přes určitou doménu. V současnosti sniffery fungují v sítích na zcela legálním základě. Používají se pro řešení problémů a analýzu provozu. Nicméně vzhledem k tomu, že některé síťové aplikace přenášet data do textový formát(Telnet, FTP, SMTP, POP3 atd.), s pomocí snifferu můžete zjistit užitečné a někdy důvěrné informace (například uživatelská jména a hesla).

Zachycení jmen a hesel představuje velké nebezpečí, protože uživatelé často používají stejné přihlašovací jméno a heslo pro více aplikací a systémů. Mnoho uživatelů má obecně jedno heslo pro přístup ke všem zdrojům a aplikacím. Pokud aplikace běží v režimu klient/server a autentizační data jsou přenášena po síti v čitelném textovém formátu, tyto informace budou pravděpodobně použity pro přístup k dalším firemním nebo externím zdrojům. V nejhorším případě získá útočník přístup k uživatelskému prostředku na systémové úrovni a s jeho pomocí vytvoří nového uživatele, kterého lze kdykoli použít pro přístup k síti a jejím prostředkům.

Hrozbu sniffování paketů můžete zmírnit pomocí následujících nástrojů:

Autentizace. Silná autentizace je prvním způsobem ochrany proti odposlechu paketů. Výrazem „silný“ rozumíme autentizační metodu, kterou je obtížné obejít. Příkladem takové autentizace jsou jednorázová hesla (OTP - One-Time Passwords). OTP je technologie dvoufaktorové autentizace. Typickým příkladem dvoufaktorové autentizace je provoz klasického bankomatu, který vás rozpozná za prvé podle vašeho plastová karta a za druhé pomocí zadaného PIN kódu. Autentizace v systému OTP vyžaduje také PIN kód a vaši osobní kartu. „Karta“ (token) je hardwarový nebo softwarový nástroj, který generuje (náhodně) jedinečné jednorázové jednorázové heslo. Pokud se útočník toto heslo dozví pomocí snifferu, bude mu tato informace k ničemu, protože v tu chvíli již bude heslo použito a vyřazeno z provozu. Všimněte si, že tento způsob řešení sniffingu je účinný pouze pro řešení sniffování hesel. Sniffery, které zachycují další informace (například e-mailové zprávy), neztrácejí svou účinnost.

přepínaná infrastruktura. Dalším způsobem, jak se vypořádat se sniffováním paketů v síťovém prostředí, je vytvoření přepínané infrastruktury. Pokud například celá organizace používá přepínaný Ethernet, mohou útočníci přistupovat pouze k provozu na portu, ke kterému jsou připojeni. Přepínaná infrastruktura sice neodstraňuje hrozbu sniffingu, ale výrazně snižuje její závažnost.

Anti-sniffery. Třetím způsobem, jak se vypořádat se sniffováním, je instalace hardwaru nebo softwaru, který rozpozná sniffery pracující v síti. Tyto nástroje nemohou zcela eliminovat hrozbu, ale stejně jako mnoho jiných nástrojů zabezpečení sítě, jsou součástí celkového systému ochrany. Takzvané „anti-sniffery“ měří dobu odezvy hostitelů a určují, zda musí hostitelé zpracovávat „nadbytečný“ provoz.

Kryptografie. Nejúčinnější způsob, jak se vypořádat se sniffováním paketů, nezabrání sniffování a nerozezná práci snifferů, ale dělá tuto práci zbytečnou. Pokud je komunikační kanál kryptograficky zabezpečený, znamená to, že útočník nezachycuje zprávu, ale šifrovaný text (tedy nesrozumitelnou sekvenci bitů).

IP spoofing útok. K tomuto útoku dochází, když se útočník, ať už uvnitř nebo mimo společnost, vydává za oprávněného uživatele. Nejjednodušším důvodem pro použití falešných IP adres je touha útočníka skrýt své aktivity v oceánu síťové aktivity. Například síťový mapovač NMAP3 používá distribuci dalších sekvencí paketů, z nichž každý používá svou vlastní podvrženou zdrojovou IP adresu. V tomto případě útočník ví, které IP adresy jsou falešné a které pakety v každé sekvenci jsou skutečné. Bezpečnostní administrátor systému, který je pod útokem, bude nucen analyzovat mnoho podvržených IP adres, než bude moci určit skutečnou IP adresu narušitele.

Dalším důvodem, proč hacker používá IP spoofing, je skrytí své identity. Faktem je, že je možné vysledovat IP adresu zpět k jedinému systému a někdy dokonce k jedinému uživateli. Útočník se proto pomocí padělku IP snaží zabránit odhalení. Použití falešné IP adresy však přináší odesílateli řadu potíží.

Všechny odpovědi z napadeného systému jsou odesílány na falešnou IP adresu. Aby bylo možné tyto odpovědi zobrazit nebo načíst, musí být útočník na cestě z napadeného počítače na podvrženou IP adresu (alespoň teoreticky). Protože odpověď nemusí nutně následovat stejnou trasu jako odeslaný podvržený paket, může útočník ztratit zpětný provoz. Aby se tomu zabránilo, může narušitel zasahovat do práce jednoho nebo více zprostředkujících směrovačů, jejichž adresy budou použity jako podvržené, za účelem přesměrování provozu na jiné místo.

Jiný přístup spočívá v tom, že útočník předem odhadne sekvenční čísla TCP, která používá napadený stroj. V tomto případě nepotřebuje přijímat paket SYN-ACK, protože jednoduše vygeneruje a odešle ACK paket s predikovaným pořadovým číslem. Dřívější implementace IP stacků používaly prediktivní schémata číslování sekvencí, a proto byly náchylné na falešné datové toky TCP. V moderních implementacích je již předpovídání pořadového čísla obtížnější. Nástroj pro vytváření diagramů sítě NMAP má schopnost odhadnout obtížnost předpovědi pořadových čísel skenovaných systémů.

Ve třetí variantě může narušitel zasahovat do provozu jednoho nebo více routerů umístěných mezi jeho serverem a serverem, který je napaden. To umožňuje směrovat zpětný provoz určený pro podvrženou IP adresu do systému, ze kterého narušení pochází. Po dokončení hacku se router uvolní, aby zakryl stopy.

Nakonec útočník nemusí mít v úmyslu odpovědět na paket SYN-ACK, který je vrácen od „oběti“. Mohou to mít dva důvody. Je možné, že cracker provádí polootevřený sken portu, známý jako skenování SYN. V tomto případě ho zajímá pouze prvotní odpověď od stroje, který je napaden. Kombinace příznaků RST-ACK znamenají, že skenovaný port je uzavřen, a kombinace příznaků SYN-ACK znamená, že je otevřený. Cíle bylo dosaženo, takže na tento paket SYN-ACK není třeba odpovídat. Je také možné, že se provede lavinový SYN-hack. V tomto případě útočník nejen nereaguje na pakety SYN-ACK nebo RST-ACK, ale vůbec se nestará o typ paketů přijatých od napadeného systému.

IP spoofing útoky jsou často výchozím bodem pro další útoky. Klasickým příkladem je DoS útok, který začíná adresou někoho jiného skrývajícího pravou identitu útočníka.

IP spoofing je obvykle omezen na vkládání nepravdivých informací nebo škodlivých příkazů do normálního datového toku přenášeného mezi klientskou a serverovou aplikací nebo přes komunikační kanál mezi partnery.

Jak již bylo uvedeno, pro obousměrnou komunikaci musí útočník změnit všechny směrovací tabulky, aby nasměroval provoz na falešnou IP adresu. Někteří útočníci se však ani nesnaží získat odpověď z aplikací. Pokud je hlavním úkolem příjem důležitého souboru ze systému, na odpovědích aplikací nezáleží. Pokud se útočníkovi podaří změnit směrovací tabulky a nasměrovat provoz na falešnou IP adresu, útočník obdrží všechny pakety a bude moci na ně reagovat, jako by byl oprávněným uživatelem.

Hrozbu spoofingu lze zmírnit (ale ne odstranit) pomocí následujících opatření:

Řízení přístupu. Nejjednodušší způsob, jak zabránit falšování IP adres, je správně nakonfigurovat řízení přístupu. Chcete-li snížit efektivitu falšování IP adres, musíte nakonfigurovat řízení přístupu tak, aby odřízlo veškerý provoz přicházející z externí sítě se zdrojovou adresou, která se musí nacházet uvnitř vaší sítě. Všimněte si, že to pomáhá bojovat proti falšování IP, když jsou autorizovány pouze interní adresy. Pokud jsou autorizovány i některé externí síťové adresy, tato metoda se stane neúčinnou.

Filtrování RFC 2827. Pokusy uživatelů chráněné sítě o falšování cizích sítí jsou zastaveny, pokud je odmítnut jakýkoli odchozí provoz, jehož zdrojová adresa není jednou z IP adres chráněné organizace. Tento typ filtrování, známý jako „RFC 2827“, může také provádět váš ISP. V důsledku toho je odmítnut veškerý provoz, který nemá zdrojovou adresu očekávanou na konkrétním rozhraní. Pokud například ISP poskytuje připojení k IP adrese 15.1.1.0/24, může nakonfigurovat filtr tak, aby byl z tohoto rozhraní do směrovače ISP povolen pouze provoz přicházející z 15.1.1.0/24. Upozorňujeme, že dokud všichni poskytovatelé nezavedou tento typ filtrování, bude jeho účinnost mnohem nižší, než je možné. Navíc, čím dále od filtrovaných zařízení, tím obtížnější je provádět přesné filtrování. Například filtrování RFC 2827 na úrovni přístupového směrovače vyžaduje veškerý provoz z hlavního síťová adresa(10.0.0.0/8), přičemž na distribuční úrovni (v této architektuře) je možné provoz omezit přesněji (adresa - 10.1.5.0/24).

IP spoofing může fungovat pouze v případě, že je ověřování založeno na IP adresách. Proto realizace doplňkové metody autentizace činí tento druh útoku zbytečným. Nejlepší typ dodatečné autentizace je kryptografický. Pokud je to nemožné, dobré výsledky může dát dvoufaktorové ověřování pomocí jednorázových hesel.

Denial of Service (DoS). DoS je bezesporu nejznámější formou útoku. Navíc proti útokům tohoto typu je nejobtížnější vytvořit stoprocentní ochranu. Snadnost implementace a obrovské množství škod, které DoS způsobuje, je středem pozornosti správců síťové bezpečnosti. Nejznámější typy útoků jsou: TCP SYN Flood; Ping smrti; Tribe Flood Network (TFN) a Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trojice.

Zdrojem informací o těchto útocích je Computer Emergency Response Team (CERT), který publikoval práci o potírání DoS útoků.

DoS útoky se liší od jiných typů útoků. Nejsou určeny k získání přístupu do vaší sítě nebo k získání jakýchkoli informací z této sítě. Útok DoS způsobí nedostupnost sítě pro běžné použití překročením povolených limitů sítě, operačního systému nebo aplikace. V případě některých serverových aplikací (jako je webový server nebo FTP server) mohou útoky DoS převzít všechna připojení dostupná těmto aplikacím a udržet je zaneprázdněné, čímž zabrání obsluhování běžných uživatelů. DoS útoky mohou využívat běžné internetové protokoly jako TCP a ICMP (Internet Control Message Protocol).

Většina DoS útoků se nespoléhá na softwarové chyby nebo bezpečnostní díry, ale na obecné slabiny v architektuře systému. Některé útoky ruší výkon sítě tím, že ji zaplavují nechtěnými a nepotřebnými pakety nebo zkreslují aktuální stav síťových zdrojů. Tomuto typu útoku je obtížné zabránit, protože vyžaduje koordinaci s ISP. Pokud provoz určený k přetečení sítě nebude u poskytovatele zastaven, pak to již na vstupu do sítě nebude možné, protože bude obsazena celá šířka pásma. Pokud je tento typ útoku prováděn současně prostřednictvím mnoha zařízení, hovoříme o distribuovaném DoS útoku (DDoS - Distributed DoS).

Hrozbu útoků DoS lze zmírnit třemi způsoby:

Funkce proti falšování. Správná konfigurace funkcí proti falšování na vašich routerech a firewallech pomůže snížit riziko DoS. Tyto funkce by měly zahrnovat minimálně filtrování RFC 2827. Pokud útočník nedokáže zamaskovat svou pravou identitu, je nepravděpodobné, že by se odvážil zahájit útok.

Anti-DoS funkce. Správná konfigurace funkcí anti-DoS na směrovačích a firewallech může omezit účinnost útoků. Tyto funkce často omezují počet napůl otevřených kanálů v jednom okamžiku.

Omezení objemu provozu (omezení rychlosti provozu). Organizace může požádat poskytovatele (ISP), aby omezil objem provozu. Tento typ filtrování vám umožňuje omezit množství nekritického provozu procházejícího vaší sítí. Běžným příkladem je omezení množství provozu ICMP, který se používá pouze pro diagnostické účely. (D)DoS útoky často využívají ICMP.

Útoky na hesla.Útočníci mohou provádět útoky na hesla pomocí různých metod, jako je útok hrubou silou, trojský kůň, falšování IP adres a sniffování paketů. I když lze přihlašovací jméno a heslo často získat pomocí IP spoofingu a packet sniffingu, hackeři se často snaží uhodnout heslo a přihlášení pomocí více pokusů o přístup. Tento přístup se nazývá útok hrubou silou.

Takový útok často používá speciální program, který se pokouší získat přístup ke sdílenému prostředku (například serveru). Pokud v důsledku toho útočník získá přístup ke zdrojům, získá je jako běžný uživatel, jehož heslo bylo uhodnuto. Pokud má tento uživatel významná přístupová práva, může si útočník vytvořit „průchod“ pro budoucí přístup, který zůstane v platnosti, i když si uživatel změní heslo a přihlašovací jméno.

Další problém nastává, když uživatelé používají stejné (i když velmi dobré) heslo pro přístup do mnoha systémů: podnikových, osobních a internetových systémů. Protože síla hesla je stejná jako síla nejslabšího hostitele, útočník, který se heslo naučí prostřednictvím tohoto hostitele, získá přístup ke všem ostatním systémům, kde se používá stejné heslo.

Za prvé, útokům na hesla se lze vyhnout tím, že nebudete používat hesla ve formátu prostého textu. Jednorázová hesla a/nebo kryptografická autentizace mohou hrozbu takových útoků prakticky eliminovat. Bohužel ne všechny aplikace, hostitelé a zařízení podporují výše uvedené metody ověřování.

Při používání běžných hesel se snažte vymyslet heslo, které je těžké uhodnout. Minimální délka hesla musí být alespoň osm znaků. Heslo musí obsahovat velká písmena, čísla a speciální znaky (#, %, $ atd.). Nejlepší hesla jsou těžko uhodnutelná a těžko zapamatovatelná, což nutí uživatele zapisovat si hesla na papír. Aby se tomu zabránilo, mohou uživatelé a správci využít některé z nejnovějších technologických pokroků. Existují například aplikace, které šifrují seznam hesel, která lze uložit do kapesního počítače. V důsledku toho si uživatel musí zapamatovat pouze jeden složité heslo, zatímco všechna ostatní hesla budou aplikací bezpečně chráněna.

Man-in-the-Middle útoky. Pro útok typu Man-in-the-Middle potřebuje útočník přístup k paketům, které jsou odesílány přes síť. Takový přístup ke všem paketům přenášeným od poskytovatele do jakékoli jiné sítě může získat např. zaměstnanec tohoto poskytovatele. Pro tento typ útoku se často používají sniffery paketů, transportní protokoly a směrovací protokoly. Útoky se provádějí za účelem krádeže informací, zachycení aktuální relace a získání přístupu k privátním síťovým zdrojům za účelem analýzy provozu a získání informací o síti a jejích uživatelích, provádění útoků DoS, zkreslení přenášených dat a zadávání neoprávněných informací do síťových relací.

Útoky typu Man-in-the-Middle lze účinně řešit pouze pomocí kryptografie. Pokud útočník zachytí data šifrované relace, nebude mít na obrazovce zachycenou zprávu, ale nesmyslnou sadu znaků. Upozorňujeme, že pokud útočník získá informace o kryptografické relaci (například klíč relace), může to umožnit útok typu Man-in-the-Middle i v šifrovaném prostředí.

Útoky na aplikační vrstvě.Útoky na aplikační vrstvě lze provádět několika způsoby. Nejběžnější z nich je využití známých slabin serverového softwaru (sendmail, HTTP, FTP). Pomocí těchto slabin mohou útočníci získat přístup k počítači jménem uživatele spouštějícího aplikaci (obvykle se nejedná o jednoduchého uživatele, ale o privilegovaného správce s přístupovými právy do systému). Informace o útocích na aplikační úrovni jsou široce zveřejňovány, aby správci mohli problém opravit pomocí opravných modulů (záplaty, záplaty). Bohužel mnoho útočníků má také přístup k těmto informacím, což jim umožňuje učit se.

Hlavním problémem útoků na aplikační vrstvě je to, že často používají porty, které mohou procházet firewallem. Útoky na aplikační vrstvě není možné zcela eliminovat.

Postup pro detekci síťových útoků.

1. Klasifikace síťových útoků

1.1. Čichadla paketů

Sniffer paketů je aplikační program, který používá síťovou kartu běžící v promiskuitním režimu ( v tomto režimu jsou všechny pakety přijaté fyzickými kanály odeslány síťovým adaptérem do aplikace ke zpracování). V tomto případě sniffer zachytí všechny síťové pakety, které jsou přenášeny přes určitou doménu.

1.2. IP spoofing

K IP spoofingu dochází, když se hacker, ať už uvnitř nebo vně systému, vydává za oprávněného uživatele. To lze provést dvěma způsoby. Za prvé, hacker může použít IP adresu, která je v rozsahu autorizovaných IP adres, nebo autorizovanou externí adresu, která má povolen přístup k určitým síťovým zdrojům. IP spoofing útoky jsou často výchozím bodem pro další útoky. Klasickým příkladem je DoS útok, který začíná adresou někoho jiného skrývajícího pravou identitu hackera.

IP spoofing je obvykle omezen na vkládání nepravdivých informací nebo škodlivých příkazů do normálního datového toku přenášeného mezi klientskou a serverovou aplikací nebo přes komunikační kanál mezi partnery. Pro obousměrnou komunikaci musí hacker změnit všechny směrovací tabulky tak, aby směrovaly provoz na falešnou IP adresu. Někteří hackeři se však ani nesnaží získat odpověď z aplikací. Pokud je hlavním úkolem příjem důležitého souboru ze systému, na odpovědích aplikací nezáleží.

Pokud se hackerovi podaří změnit směrovací tabulky a nasměrovat provoz na falešnou IP adresu, hacker obdrží všechny pakety a bude moci na ně reagovat, jako by byl oprávněným uživatelem.

1.3. Odmítnutí služby ( Denial of Service - DoS)

DoS je nejznámější formou hackerských útoků. Proti útokům tohoto typu je nejobtížnější vytvořit stoprocentní ochranu.

Nejznámější typy DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 TFN2K);
• Trinco;
• Stacheldracht;
• Trojice.

DoS útoky se liší od jiných typů útoků. Nejsou určeny k získání přístupu do sítě nebo k získání jakýchkoli informací z této sítě. Útok DoS způsobí nedostupnost sítě pro běžné použití překročením povolených limitů sítě, operačního systému nebo aplikace.

Při použití některých serverových aplikací (například webový server nebo FTP server) Útoky DoS mohou spočívat v odebrání všech dostupných připojení těmto aplikacím a jejich udržení v zaneprázdněném stavu, což zabrání obsluhování běžných uživatelů. DoS útoky mohou využívat běžné internetové protokoly, jako jsou TCP a ICMP ( Internet Control Message Protocol). Většina DoS útoků se nespoléhá na softwarové chyby nebo bezpečnostní díry, ale na obecné slabiny v architektuře systému. Některé útoky ruší výkon sítě tím, že ji zaplavují nechtěnými a nepotřebnými pakety nebo zkreslují aktuální stav síťových zdrojů. Tomuto typu útoku je obtížné zabránit, protože vyžaduje koordinaci s ISP. Pokud provoz určený k zahlcení vaší sítě není u poskytovatele zastaven, na vstupu do sítě to již nebudete moci udělat, protože bude obsazena celá šířka pásma. Pokud je tento typ útoku prováděn současně prostřednictvím mnoha zařízení, jedná se o distribuovaný DoS ( DDoS - distribuovaný DoS).

1.4. Útoky na hesla

Hackeři mohou provádět útoky na hesla pomocí různých metod, jako je hrubá síla ( útok hrubou silou), trojský kůň, IP spoofing a packet sniffing. I když lze přihlašovací jméno a heslo často získat pomocí IP spoofingu a packet sniffingu, hackeři se často snaží uhodnout heslo a přihlášení pomocí více pokusů o přístup. Tento přístup se nazývá jednoduchá iterace. (útok hrubou silou). Takový útok často používá speciální program, který se pokouší získat přístup ke sdílenému prostředku ( například na server). Pokud v důsledku toho hacker získá přístup ke zdrojům, získá jej jako běžný uživatel, jehož heslo bylo uhodnuto. Pokud má tento uživatel významná přístupová práva, může si hacker pro sebe vytvořit „bránu“ pro budoucí přístup, která bude fungovat, i když si uživatel změní heslo a přihlašovací jméno.

Další problém nastává, když uživatelé používají stejné ( i když je to velmi dobré) heslo pro přístup do mnoha systémů: firemních, osobních a internetových systémů. Protože síla hesla je stejná jako síla nejslabšího hostitele, hacker, který se heslo naučí prostřednictvím tohoto hostitele, získá přístup ke všem ostatním systémům, kde se používá stejné heslo.

1.5. Man-in-the-Middle útoky

Pro útok typu Man-in-the-Middle potřebuje hacker přístup k paketům odesílaným přes síť. Takový přístup ke všem paketům přenášeným od poskytovatele do jakékoli jiné sítě může získat např. zaměstnanec tohoto poskytovatele. Pro tento typ útoku se často používají sniffery paketů, transportní protokoly a směrovací protokoly. Útoky se provádějí za účelem odcizení informací, zachycení aktuální relace a získání přístupu k privátním síťovým zdrojům, k analýze provozu a získání informací o síti a jejích uživatelích, k provádění DoS útoků, zkreslení přenášených dat a zadávání neoprávněných informací do síťových relací.

1.6. Útoky na aplikační vrstvě

Útoky na aplikační vrstvě lze provádět několika způsoby. Nejběžnější z nich je zneužívání slabin serverového softwaru ( sendmail, HTTP, FTP). Pomocí těchto slabin mohou hackeři získat přístup k počítači jménem uživatele spouštějícího aplikaci ( obvykle se nejedná o jednoduchého uživatele, ale o privilegovaného správce s přístupovými právy k systému). Podrobnosti o útocích na aplikační vrstvě jsou široce publikovány, aby správci mohli opravit problém pomocí opravných modulů ( náplasti). Hlavním problémem útoků na aplikační vrstvě je to, že často používají porty, které mohou procházet firewallem. Například hacker využívající dobře známou slabinu webového serveru často používá při útoku TCP port 80. Protože webový server zpřístupňuje uživatelům webové stránky, musí firewall poskytnout přístup k tomuto portu. Z pohledu firewallu je útok považován za standardní provoz na portu 80.

1.7. síťová inteligence

Síťová inteligence je shromažďování informací o síti pomocí veřejně dostupných dat a aplikací. Při přípravě útoku proti síti se o ní hacker obvykle snaží získat co nejvíce informací. Průzkum sítě má podobu DNS dotazů, ping sweepů a skenování portů. Dotazy DNS vám pomohou pochopit, kdo vlastní konkrétní doménu a jaké adresy jsou této doméně přiřazeny. Testování echa ( ping sweep) adres zjištěných DNS vám umožňuje zjistit, kteří hostitelé skutečně pracují v daném prostředí. Vzhledem k seznamu hostitelů používá hacker nástroje pro skenování portů k sestavení kompletního seznamu služeb podporovaných těmito hostiteli. A nakonec hacker analyzuje vlastnosti aplikací běžících na hostitelích. V důsledku toho se získají informace, které lze použít k hackování.

1.8. porušení důvěry

Tento typ akce není "Záchvat" nebo "bouřka". Jde o škodlivé zneužití důvěryhodných vztahů, které v síti existují. Příkladem je systém nainstalovaný na vnější straně brány firewall, který má vztah důvěryhodnosti se systémem nainstalovaným na jeho straně. uvnitř. V případě hacku vnější systém může hacker použít důvěryhodné vztahy k proniknutí do systému chráněného firewallem.

1.9. Přesměrování portů

Přesměrování portů je forma narušení důvěry, kdy je kompromitovaný hostitel použit k odesílání provozu přes firewall, který by jinak byl jistě odmítnut. Příkladem aplikace, která může tento přístup poskytnout, je netcat.

1.10. Neautorizovaný přístup

Neoprávněný přístup nelze považovat za samostatný typ útoku. Většina síťových útoků se provádí za účelem získání neoprávněného přístupu. K vyzvednutí přihlášení k telnetu musí hacker nejprve dostat výzvu k telnetu na svůj systém. Po připojení k port telnet na obrazovce se objeví zpráva "k použití tohoto zdroje je vyžadováno oprávnění" (K použití tohoto zdroje je vyžadována autorizace.). Pokud se poté bude hacker nadále pokoušet o přístup, bude zvážen "neoprávněný". Zdrojem takových útoků může být jak uvnitř sítě, tak vně.

1.11. Viry a aplikace tohoto typu "Trojský kůň"

Klientské pracovní stanice jsou velmi citlivé na viry a trojské koně. "Trojský kůň" není softwarová vložka, ale skutečný program, která vypadá užitečná aplikace, ale ve skutečnosti hraje škodlivou roli.

2. Metody boje proti síťovým útokům

2.1. Hrozbu sniffování paketů můžete zmírnit pomocí následujících nástrojů:

2.1.1. Autentizace – Silná autentizace je první obranou proti sniffování paketů. Pod "silný" rozumíme autentizační metodě, kterou je obtížné obejít. Příkladem takové autentizace jsou jednorázová hesla ( OTP – Jednorázová hesla). OTP je technologie dvoufaktorové autentizace, která kombinuje to, co máte, s tím, co znáte. Pod "kartou" ( žeton) znamená hardwarový nebo softwarový nástroj, který generuje ( na náhodném základě) jedinečné jednorázové jednorázové heslo. Pokud se hacker toto heslo naučí pomocí snifferu, bude tato informace k ničemu, protože v tom okamžiku bude heslo již používané a zastaralé. Tento způsob řešení sniffování je účinný pouze pro řešení sniffování hesel.

2.1.2. Přepínaná infrastruktura – Dalším způsobem, jak bojovat proti odposlechu paketů v síťovém prostředí, je vytvořit přepínanou infrastrukturu, pomocí níž mohou hackeři přistupovat pouze k provozu na portu, ke kterému jsou připojeni. Přepínaná infrastruktura sice neodstraňuje hrozbu sniffingu, ale výrazně snižuje její závažnost.

2.1.3. Anti-sniffers – Třetím způsobem, jak bojovat proti snifferu, je instalace hardwaru nebo softwaru, který rozpozná sniffery běžící ve vaší síti. Tyto nástroje nemohou zcela eliminovat hrozbu, ale stejně jako mnoho jiných nástrojů zabezpečení sítě jsou součástí celkového systému ochrany. Tzv "anti-čichači" měřit dobu odezvy hostitelů a určit, zda hostitelé potřebují zpracovat "další" provoz.

2.1.4. Kryptografie – Nejúčinnější způsob, jak se vypořádat se sniffováním paketů, nezabrání sniffování a nerozezná práci snifferů, ale dělá tuto práci zbytečnou. Pokud je komunikační kanál kryptograficky zabezpečený, znamená to, že hacker nezachycuje zprávu, ale šifrovaný text (tedy nesrozumitelnou sekvenci bitů).

2.2. Hrozbu spoofingu lze zmírnit ( ale ne odstranit) prostřednictvím následujících opatření:

2.2.1. Access Control – Nejjednodušší způsob, jak zabránit IP spoofingu, je správně nastavit řízení přístupu. Aby se snížila účinnost falšování IP adres, je řízení přístupu nakonfigurováno tak, aby odřízlo veškerý provoz přicházející z externí sítě se zdrojovou adresou, která se musí nacházet uvnitř vaší sítě. To pomáhá bojovat proti falšování IP, když jsou autorizovány pouze interní adresy. Pokud jsou autorizovány i některé externí síťové adresy, tato metoda se stane neúčinnou.

2.2.2. Filtrování RFC 2827 - potlačení pokusů o falšování cizích sítí uživateli podnikové sítě. K tomu je nutné odmítnout veškerý odchozí provoz, jehož zdrojová adresa není jednou z IP adres Banky. Tento typ filtrování, známý jako „RFC 2827“, může také provádět ISP ( ISP). V důsledku toho je odmítnut veškerý provoz, který nemá zdrojovou adresu očekávanou na konkrétním rozhraní.

2.2.3. Nejúčinnější metoda, jak se vypořádat s IP spoofingem, je stejná jako v případě packet sniffingu: musíte útok zcela znemožnit. IP spoofing může fungovat pouze v případě, že je ověřování založeno na IP adresách. Zavedení dalších autentizačních metod proto činí tento typ útoku zbytečným. Nejlepší typ dodatečné autentizace je kryptografický. Pokud to není možné, dobré výsledky může poskytnout dvoufaktorová autentizace pomocí jednorázových hesel.

2.3. Hrozbu útoků DoS lze zmírnit následujícími způsoby:

2.3.1. Funkce ochrany proti falšování – Správná konfigurace funkcí ochrany proti falšování na vašich routerech a firewallech pomůže snížit riziko DoS. Tyto funkce by měly zahrnovat minimálně filtrování RFC 2827. Pokud hacker nedokáže zamaskovat svou pravou identitu, je nepravděpodobné, že by se pokusil o útok.

2.3.2. Funkce Anti-DoS – Správná konfigurace funkcí anti-DoS na směrovačích a firewallech může omezit účinnost útoků. Tyto funkce omezují počet napůl otevřených kanálů v jednom okamžiku.

2.3.3. Omezení množství provozu ( omezení rychlosti provozu) – smlouva s poskytovatelem ( ISP) o omezení objemu provozu. Tento typ filtrování umožňuje omezit množství nekritického provozu procházejícího sítí. Běžným příkladem je omezení množství provozu ICMP, který se používá pouze pro diagnostické účely. útoky ( D) DoS často používá ICMP.

2.3.4. Blokování IP adres - po analýze DoS útoku a identifikaci rozsahu IP adres, ze kterých je útok prováděn, kontaktujte poskytovatele, aby je zablokoval.

2.4. Útokům na hesla se lze vyhnout tím, že nebudete používat hesla ve formátu prostého textu. Jednorázová hesla a/nebo kryptografická autentizace mohou hrozbu takových útoků prakticky eliminovat. Ne všechny aplikace, hostitelé a zařízení podporují výše uvedené metody ověřování.

Při používání běžných hesel je potřeba vymyslet heslo, které by bylo těžké uhodnout. Minimální délka hesla musí být alespoň osm znaků. Heslo musí obsahovat velká písmena, čísla a speciální znaky ( #, %, $ atd.). Nejlepší hesla jsou těžko uhodnutelná a těžko zapamatovatelná, což nutí uživatele zapisovat si hesla na papír.

2.5. Útoky typu Man-in-the-Middle lze účinně řešit pouze pomocí kryptografie. Pokud hacker zachytí data šifrované relace, nebude mít na obrazovce zachycenou zprávu, ale nesmyslnou sadu znaků. Všimněte si, že pokud hacker získá informace o kryptografické relaci ( např. klíč relace), to může umožnit útok Man-in-the-Middle i v šifrovaném prostředí.

2.6. Útoky na aplikační vrstvě není možné zcela eliminovat. Hackeři neustále objevují a zveřejňují nové zranitelnosti na internetu aplikační programy. Nejdůležitější je dobrá správa systému.

Kroky, které můžete podniknout, abyste snížili svou zranitelnost vůči tomuto typu útoku:

• čtení a/nebo analýza log souborů operačních systémů a síťových log souborů pomocí speciálních analytických aplikací;
• včasná aktualizace verzí operačních systémů a aplikací a instalace nejnovějších opravných modulů ( náplasti);
• použití systémů rozpoznávání útoků ( IDS).

2.7. Úplně se zbavit síťové inteligence je nemožné. Pokud zakážete ICMP echo a echo response na periferních routerech, zbavíte se pingu, ale přijdete o data potřebná k diagnostice selhání sítě. Můžete také skenovat porty, aniž byste na ně nejprve museli pingnout. To bude trvat déle, protože budou muset být skenovány i neexistující IP adresy. Systémy IDS na úrovni sítě a hostitele obvykle dobře informují správce o probíhajícím průzkumu sítě, což jim umožňuje lépe se připravit na nadcházející útok a informovat ISP ( ISP), na jehož síti je nainstalován systém, který vykazuje nadměrnou zvědavost.

2.8. Riziko porušení důvěry lze snížit o více přísná kontrolaúrovně důvěry v jejich síti. Systémy mimo firewall by nikdy neměly být absolutně důvěryhodné systémy chráněnými firewallem. Důvěryhodné vztahy by měly být omezeny na určité protokoly a pokud možno autentizovány nejen podle IP adres, ale i podle dalších parametrů.

2.9. Hlavním způsobem, jak se vypořádat s přesměrováním portů, je použití modelů silné důvěry ( viz bod 2.8 ). Navíc, aby se zabránilo hackerovi v instalaci jeho software může hostitelský systém IDS ( HIDS).

2.10. Způsoby, jak se vypořádat neautorizovaný přístup jsou docela jednoduché. Zde jde především o snížení nebo úplné odstranění možnosti hackera získat přístup do systému pomocí neautorizovaného protokolu. Jako příklad zvažte zabránění hackerům v přístupu k portu telnet na serveru, který poskytuje webové služby externím uživatelům. Bez přístupu k tomuto portu na něj hacker nebude moci zaútočit. Pokud jde o firewall, jeho hlavním úkolem je zabránit nejjednodušším pokusům o neoprávněný přístup.

2.11. Boj s viry a trojskými koňmi se provádí pomocí účinného antivirového softwaru, který funguje na úrovni uživatele i na úrovni sítě. Antivirové nástroje detekují většinu virů a trojských koní a zabraňují jejich šíření.

3. Algoritmus akcí při detekci síťových útoků

3.1. Většina síťových útoků je blokována automaticky nainstalovanými nástroji ochrany informací ( firewally, důvěryhodné spouštěcí nástroje, síťové routery, antivirová činidla a tak dále.).

3.2. Mezi útoky, které vyžadují lidský zásah k jejich zablokování nebo zmírnění závažnosti následků, patří DoS útoky.

3.2.1. DoS útoky jsou detekovány analýzou síťového provozu. Začátek útoku je charakterizován „ řízení» komunikační kanály využívající pakety náročné na zdroje s falešnými adresami. Takový útok na stránky internetového bankovnictví zkomplikuje přístup legitimních uživatelů a webový zdroj se může stát nedostupným.

3.2.2. Pokud je detekován útok, správce systému provede následující akce:

• provádí ruční přepínání routeru na záložní kanál a zpět za účelem identifikace méně zatíženého kanálu (kanál s větší šířkou pásma);
• odhalí rozsah IP adres, ze kterých je útok veden;
• odešle poskytovateli požadavek na zablokování IP adres ze zadaného rozsahu.

3.3. Útok DoS se obvykle používá k zamaskování úspěšného útoku na prostředky klienta, aby bylo obtížnější jej odhalit. Proto, když je detekován DoS útok, je nutné analyzovat nejnovější transakce, aby bylo možné identifikovat neobvyklé transakce, zablokovat je (pokud je to možné) a kontaktovat zákazníky prostřednictvím alternativního kanálu pro potvrzení transakcí.

3.4. Pokud jsou od klienta obdrženy informace o neoprávněném jednání, jsou zaznamenány všechny dostupné důkazy, je provedeno interní šetření a je podána žádost na vymáhání práva.

Stažení ZIP soubor (24151)

Dokumenty se hodily - dejte "like":

Každý síťový útok lze obecně rozdělit do 5 fází (tabulka 3). V reálné situaci mohou být některé kroky přeskočeny.

Tabulka 3. Hlavní třídy síťových útoků

Zvažme hlavní způsoby a prostředky ochrany proti uvedeným síťovým hrozbám.

Sociotechnika. nejlepší metoda obrana proti sociálnímu inženýrství -- informovanost uživatelů. Je nutné informovat všechny zaměstnance o existenci sociálního inženýrství a jasně definovat typy informací, které bez záminky nelze sdělovat po telefonu. Pokud organizace poskytuje možnosti poskytování jakýchkoli informací po telefonu (telefonní čísla, identifikační údaje atd.), pak by tyto postupy měly být jasně upraveny, například pomocí metod ověřování volajícího.

Přímá invaze:

¾ kontrola přístupu (systémy kontroly přístupu, deník návštěv, odznaky atd.);

* fyzické zabezpečení zařízení (mechanické, elektronické zámky);

* zámek počítače, spořiče obrazovky;

* šifrování systému souborů.

Likvidace odpadků. Známá skartovačka je nejlepší obranou proti těm, kteří se prohrabávají v odpadkových koších. Zaměstnanci musí mít neomezený přístup k takovým strojům, aby mohli zničit veškeré informace jakékoli hodnoty. Alternativně má každý uživatel k dispozici samostatnou přihrádku na papíry obsahující důležité informace, odkud jsou dokumenty každou noc podávány do řezačky papíru. Zaměstnanci musí být jasně informováni o tom, jak zacházet s důvěrnými informacemi.

Webové vyhledávání. Hlavním způsobem ochrany je nezveřejňování informací. Je nutné učinit seznam informací, které mají být umístěny na veřejných zdrojích na internetu, nezbytným a dostatečným. Přebytečné údaje o firmě mohou útočníkovi „pomoci“ v realizaci jeho záměrů. Zaměstnanci musí nést odpovědnost za šíření důvěrných informací. Veřejné informace by měly být pravidelně kontrolovány interně nebo za účasti společností třetích stran.

studie WHOIS. Neexistují žádné obecné způsoby ochrany před obdržením registračních údajů útočníkem. Existují doporučení, podle kterých by informace v příslušných databázích měly být co nejpřesnější a nejvěrohodnější. To umožňuje správcům různých společností snadno mezi sebou komunikovat a pomáhat najít narušitele.

Prozkoumání zón DNS. Nejprve musíte zkontrolovat, zda na serveru DNS nedochází k úniku dat, ke kterému dochází kvůli přítomnosti zbytečných informací. Takovými informacemi mohou být názvy obsahující název operačních systémů, HINFO nebo TXT záznamy. Za druhé, server DNS musí být správně nakonfigurován, aby omezoval přenosy zón. Za třetí je nutné nakonfigurovat hraniční router tak, aby k portu 53 (TCP a UDP) měla přístup pouze záložní zařízení. DNS servery které provádějí synchronizaci s centrálním serverem. Měli byste také použít oddělení externích a interních serverů DNS. Interní server je nakonfigurován tak, aby překládal pouze názvy interních sítí, zatímco pravidla předávání se používají k překladu názvů externích sítí. To znamená, že externí server DNS by neměl „vědět“ nic o vnitřní síti.

Vyhledávejte aktivní zařízení a sledujte trasy. Způsob ochrany – instalace a konfigurace firewallů pro filtrování paketů takovým způsobem, aby byly odfiltrovány požadavky z programů používaných útočníkem. Například blokování požadavků ICMP z nedůvěryhodných zdrojů velmi ztíží sledování.

Skenování portů. První a nejdůležitější věcí je uzavřít všechny nepoužívané porty. Pokud například nepoužíváte TELNET, musíte zavřít odpovídající port. Při nasazení nový systém, musíte si předem zjistit porty, které používá, a podle potřeby je otevřít. Ve zvláště důležitých systémech se doporučuje odstranit programy odpovídající nepotřebným službám. Za nejlepší nastavení systému se považuje to, v jakém počtu nainstalované služby a minimálními nástroji. Za druhé, musíte se otestovat. vlastní systém pronikání, čímž předurčuje akce narušitele. Pro ochranu před pokročilejšími skenery se doporučuje používat stavové paketové filtry. Takové filtry zkoumají protokolové pakety a propouštějí pouze ty, které odpovídají zavedeným relacím.

Obecná doporučení proti skenování jsou včasná aplikace bezpečnostních balíčků, používání systémů detekce narušení (IDS), systémů prevence narušení (IPS) pro síť a hostitele a jejich včasná aktualizace.

Přetečení zásobníku. Způsoby ochrany proti tomuto typu útoků lze rozdělit do dvou kategorií.

• 1. Metody používané správci systému a bezpečnostními úředníky při provozu, konfiguraci a údržbě systémů: včasná aplikace záplat do systémů, sledování aktualizací nainstalovaných produktů, servisní balíčky pro ně, odstranění extra programy a služby, kontrola a filtrování příchozích/ odchozí provoz, nespustitelné nastavení zásobníku. Mnoho IDS je schopno detekovat útoky přetečení paměti založené na signaturách.
• 2. Metody používané softwarovými vývojáři v procesu tvorby programů: eliminace programátorských chyb, kontrolou prostoru dostupné paměti, množství vstupních informací procházejících aplikací. zdržet se používání problematických funkcí z bezpečnostního hlediska; kompilace programů speciálními prostředky.

Výše uvedené metody pomáhají minimalizovat počet přetečení útoků. zásobníková paměť ale nezaručuje kompletní zabezpečení systémy.

Útoky na hesla. V první řadě „silná“ hesla. Jedná se o hesla, která mají minimálně 9 znaků a obsahují speciální znaky. Dále - pravidelná změna hesel. Aby to vše správně fungovalo, doporučuje se vyvinout politiku hesel přizpůsobenou konkrétní organizaci a její obsah přinést všem uživatelům. Je dobré poskytnout zaměstnancům konkrétní návod, jak vytvářet hesla. Za druhé se doporučuje používat systémy s vestavěnou kontrolou „slabosti“ hesel. Pokud taková kontrola neexistuje, měli byste nasadit další software, který provádí podobnou funkci. Nejúčinnějším způsobem je odmítat hesla a používat autentizační systémy (smart karty atd.). Doporučuje se pravidelně testovat svá vlastní hesla. Je dobrou praxí chránit soubory pomocí hashovaných hesel a také jejich stínové kopie.

Útoky na webové aplikace. Pro ochranu před krádeží účtu je nutné zobrazit stejnou chybu na obrazovce, kdy špatný vstup přihlašovací jméno nebo heslo. To útočníkovi ztíží uhodnutí vašeho ID nebo hesla. Nejlepší ochranou proti útokům na sledování připojení je hašování přenášených informací o připojení, dynamická změna ID relace a ukončení nečinné relace. Nejnebezpečnějšími útoky jsou vkládání kódu SQL do aplikace. Ochranou proti nim je vývoj WEB aplikací tak, aby dokázaly pečlivě filtrovat uživatelsky zadaná data. Aplikace by neměla slepě důvěřovat zadaným informacím, protože mohou obsahovat znaky upravující SQL příkazy. Aplikace musí před zpracováním požadavku uživatele odstranit speciální znaky.

Je třeba poznamenat, že dnes se aktivně rozvíjí směr WAF (Web Application Firewall) - firewall na aplikační úrovni, který poskytuje komplexní metody ochrany WEB zdrojů. Bohužel z důvodu vysoké ceny jsou tato řešení dostupná převážně pouze velkým společnostem.

Čichání. Prvním je šifrování dat přenášených po síti. K tomu se používají protokoly HTTPS, SSH, PGP, IPSEC. Druhým je pečlivé zacházení s bezpečnostními certifikáty, ignorování pochybných certifikátů. Použití moderních přepínačů, které umožňují konfigurovat filtrování MAC na portech, implementuje statickou tabulku ARP. Používejte VLAN.

IP spoofing. Tuto hrozbu lze minimalizovat pomocí následujících opatření.

• 1. Kontrola přístupu. Na okraji sítě jsou instalovány paketové filtry pro odfiltrování veškerého provozu z vnější sítě, kde zdrojová adresa paketů je jednou z adres vnitřní sítě.
• 2. Filtrování RFC2827. Spočívá v odříznutí odchozího provozu na vnitřní síti, ve které není jako zdrojová adresa určena žádná z IP adres vaší organizace.
• 3. Zavedení dalších typů autentizace (dvoufaktorové) a kryptografického šifrování činí takové útoky zcela neúčinnými.

Zachycení komunikační relace. S tímto typem útoku se lze efektivně vypořádat pouze pomocí kryptografie. Může se jednat o protokol SSL, VPN sítě apod. U nejkritičtějších systémů je vhodné použít šifrování i v interních sítích. Útočník, který zachytí provoz šifrované relace, z ní nebude moci získat žádné cenné informace.

DOS útoky. Abychom popsali prostředky ochrany před útoky DOS, uvažujme o jejich klasifikaci. Tyto útoky obecně spadají do dvou kategorií: ukončení služby a vyčerpání zdrojů (tabulka 5). Ukončení služeb – výpadek nebo vypnutí konkrétního serveru používaného v síti. Vyčerpání zdrojů je použití počítačových nebo síťových zdrojů k zabránění uživatelům v přijímání napadené služby. Oba typy útoků lze provádět lokálně i vzdáleně (přes síť).

Ochrana před ukončením lokálních služeb: aktuální bezpečnostní záplaty pro lokální systémy, pravidelné opravy chyb, diferenciace přístupových práv, aplikace kontroly integrity souborů.

Ochrana před vyčerpáním místních zdrojů: uplatňování principu nejmenšího privilegia při přidělování přístupových práv, zvýšení systémové prostředky(paměť, rychlost procesoru, šířka pásma komunikačních kanálů atd.), aplikace IDS.

Ochrana proti vzdálenému ukončení služeb: aplikace záplat, rychlá odezva.

Nejlepší obranou proti vzdálenému vyčerpání zdrojů je rychlá reakce na útok. To může pomoci moderním IDS-systémům, spolupráce s poskytovatelem. Stejně jako v předchozích odstavcích by systémy měly být aktualizovány a opraveny včas. Používejte funkce proti falšování. Omezte objem provozu od poskytovatele. Nejkritičtější systémy vyžadují přiměřenou šířku pásma a redundantní spojení.

Udržujte přístup. Viry a trojské koně. Nejlepší ochranou je účinný antivirový software (software), který funguje jak na úrovni uživatele, tak na úrovni sítě. Udržování vysoké úrovně zabezpečení proti těmto hrozbám vyžaduje pravidelné aktualizace antivirového softwaru a známých virových signatur. Druhým krokem je získat skutečné aktualizace operační systémy, konfigurace zásad zabezpečení aplikací v souladu s aktuální doporučení jejich vývojáři. Je nutné školit uživatele v dovednostech „bezpečné“ práce na internetu a s e-mailem. Ochrana před "ROOTKIT" je poskytována politikami řízení přístupu, antivirem software, používání návnad a systémů detekce narušení.

Zakrývání stop. Po útoku se útočník obvykle snaží vyhnout detekci ze strany správců zabezpečení. Pro tyto účely mění nebo maže soubory protokolu, které ukládaly historii jednání pachatele. Vytvoření účinné ochrany, která zabrání útočníkovi v úpravě souborů protokolu, je zásadní podmínkou bezpečnostní. Množství úsilí, které je třeba vynaložit na ochranu registračních informací daného systému, závisí na jeho hodnotě. Prvním krokem k zajištění integrity a užitečnosti souborů protokolu je povolení protokolování na kritických systémech. Abyste se vyhnuli situaci, kdy se v případě vyšší moci ukáže, že protokoly jsou zakázány, musíte vytvořit bezpečnostní politiku, která bude postupy protokolování regulovat. Doporučujeme pravidelně kontrolovat, zda vaše systémy splňují tyto zásady. Dalším nezbytným opatřením k ochraně log souborů je rozlišení přístupových práv k těmto souborům. Účinnou technikou ochrany registračních informací je instalace vyhrazeného serveru pro registraci událostí, který poskytuje odpovídající úroveň zabezpečení. Dobré jsou také takové metody ochrany, jako je šifrování souborů protokolu a povolení zapisovat pouze na konec souboru. Využití systémů IDS. Proti tunelování se můžete chránit na dvou místech: v cílovém počítači a v síti. Na cílovém počítači je ochrana zajištěna přístupovými právy, antivirovým softwarem, zabezpečenou konfigurací a instalací aktualizací. Na úrovni sítě lze tunelování detekovat systémy detekce narušení.

Hlavní metody ochrany proti síťovým útokům byly uvedeny výše. Na jejich základě se budují komplexní řešení, která mohou kombinovat řadu funkcí ochrany informací a být použita v konkrétním modulu síťové infrastruktury.