- •Защита информации с помощью KerioWinRouteFirewall
- •2.Цель работы
- •3.Краткие теоретические сведения
- •3.1 Перечень возможных угроз безопасности
- •3.2 Атаки сети, виды и защита
- •3.2.1 Почтовая бомбардировка
- •3.2.2 Атаки с подбором пароля
- •3.2.3 Вирусы, почтовые черви и "троянские кони"
- •3.2.4 Сетевая разведка
- •3.2.5 Пассивные атаки на уровне tcp
- •Подслушивание - Сниффинг пакетов
- •3.2.6 Активные атаки на уровне tcp
- •3.2.6.1 Предсказание tcp sequence number - ip-спуфинг
- •Описание
- •Детектирование и защита
- •3.2.6.2 Ip Hijacking
- •Описание
- •Ранняя десинхронизация
- •Десинхронизация нулевыми данными
- •Ack-буря
- •Детектирование и защита
- •3.2.6.3 Пассивное сканирование
- •3.2.6.4 Атака на отказ в обслуживании
- •Затопление icmp-пакетами
- •Затопление syn-пакетами
- •3.2.6.5 Локальная буря
- •3.2.7 Атаки типа Man-in-the-Middle
- •3.2.8 Использование "дыр" и "багов" в по
- •3.3 Классификация средств защиты
- •3.3.1 Традиционные методы и средства обеспечения безопасности квс
- •3.3.2 Специфические сетевые методы и средства обеспечения безопасности
- •3.4 Kerio Winroute Firewall
- •3.4.1 Назначение программного обеспечения и задачи администрирования
- •3.4.2 Инструкция по установке
- •3.4.3 Инструкция по настройке
- •3.4.4 Инструкция по эксплуатации
- •4. Задание на лабораторную работу
- •Совместимость с операционными системами, с другим программным обеспечением и другими программами данного пакета WinRoute
3.2.4 Сетевая разведка
Собственно говоря, сетевую разведку нельзя назвать атакой на компьютерную систему - ведь никаких "зловредных" действий хакер при этом не производит. Однако сетевая разведка всегда предшествует собственно нападению, так как при его подготовке злоумышленникам необходимо собрать всю доступную информацию о системе. При этом информация собирается с использованием большого набора общедоступных данных и приложений - ведь хакер старается получить как можно больше полезной информации. При этом производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с помощью DNS адресов и т.д. Так удается, в частности, выяснить, кому принадлежит тот или иной домен и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной сети, а средства сканирования портов позволяют составить полный список услуг, поддерживаемых этими хостами. Анализируются при проведении сетевой разведки и характеристики приложений, работающих на хостах, - словом, добывается информация, которую впоследствии можно использовать при взломе или проведении DoS-атаки. Полностью избавиться от сетевой разведки невозможно, в первую очередь потому, что формально враждебных действий не производится. Если, например, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, можно избавиться от эхо-тестирования, однако при этом окажутся потеряны данные, которые необходимы для диагностики сбоев в Сети. К тому же, просканировать порты злоумышленники могут и без предварительного эхо-тестирования. Защитные и контролирующие системы на уровне сети и хостов обычно вполне справляются с задачей уведомления системного администратора о ведущейся сетевой разведке. При добросовестном отношении администратора к своим обязанностям это позволяет лучше подготовиться к предстоящей атаке и даже принять упреждающие меры, например, оповестив провайдера, из сети которого кто-то проявляет чрезмерное любопытство.
3.2.5 Пассивные атаки на уровне tcp
Атаки на TCP/IP можно разделить на два вида: пассивные и активные.
При пассивном типе атак крэкеры2 никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.
Подслушивание - Сниффинг пакетов
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер ("нюхач") перехватывает все сетевые пакеты, которые передаются через атакуемый домен. Особенность ситуации в данном случае в том, что сейчас во многих случаях снифферы работают в сетях на вполне законном основании - их используют для диагностики неисправностей и анализа трафика. Поэтому далеко не всегда можно достоверно определить, используется или нет конкретная программа-сниффер злоумышленниками, и не произошло ли банальной подмены программы на аналогичную, но с "расширенными" функциями. При помощи сниффера злоумышленники могут узнать различную конфиденциальную информацию - такую, например, как имена пользователей и пароли. Связано это с тем, что ряд широко используемых сетевых приложений передает данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.). Поскольку пользователи часто применяют одни и те же логин и пароль для множества приложений и систем, даже однократный перехват этой информации несет серьезную угрозу информационной безопасности предприятия. Единожды завладев логином и паролем конкретного сотрудника, хитроумный хакер может получить доступ к пользовательскому ресурсу на системном уровне и с его помощью создать нового, фальшивого, пользователя, которого можно в любой момент использовать для доступа в Сеть и к информационным ресурсам. Впрочем, используя определенный набор средств, можно существенно смягчить угрозу сниффинга пакетов. Во-первых, это достаточно сильные средства аутентификации, которые трудно обойти, даже используя "человеческий фактор". Например, однократные пароли (One-Time Passwords). Это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. При этом аппаратное или программное средство генерирует по случайному принципу уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Но это касается только паролей - к примеру, сообщения электронной почты все равно остаются незащищенными.
Другой способ борьбы со сниффингом - использование анти-снифферов. Это работающие в Сети аппаратные или программные средства, которые распознают снифферы. Они измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" трафик. Подобного рода средства не могут полностью ликвидировать угрозу сниффинга, но жизненно необходимы при построении комплексной системы защиты.
Еще один вариант решения - использование интеллектуальных свитчей, в результате чего каждая машина получает только тот трафик, что адресован ей.
Однако наиболее эффективной мерой, по мнению ряда специалистов, будет просто сделать работу снифферов бессмысленной. Для этого достаточно защитить передаваемые по каналу связи данные современными методами криптографии. В результате хакер перехватит не сообщение, а зашифрованный текст, то есть непонятную для него последовательность битов. Сейчас наиболее распространенными являются криптографические протоколы IPSec от корпорации Cisco, а также протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).
У каждой палки два конца. Естественно, как уже отмечалось выше, подслушивание может быть и полезно. Так, данный метод используется большим количеством программ, помогающих администраторам в анализе работы сети (ее загруженности, работоспособности и т.д.). Один из ярких примеров – общеизвестная программа tcpdump.