- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Классификация удаленных атак
1) По характеру воздействия:
-
Пассивное – называется воздействие, которое не оказывает непосредственное влияние на функционирование системы, но может нарушить ее ПБ. Подобное воздействие практически невозможно обнаружить. Относятся: анализ трафика, прослушка канала связи;
-
Активное – воздействие, оказывающее непосредственное влияние на работу системы (нарушение работоспособности, искажение или навязывание информации) и нарушающее в ней ПБ. Особенностью такого воздействия является принципиально возможное его обнаружение и возможная идентификация его источника.
-
По цели воздействия:
-
Нарушение конфиденциальности информации или параметров системы. Может быть реализовано пассивным воздействием;
-
Нарушение целостности информации;
-
Нарушение работоспособности или доступности компонент ИС.
-
По условию начала воздействия:
-
Атака по запросу от атакуемого объекта. Атакующая сторона ожидает от потенциальной цели атаки запроса определенного типа, который будет условием начала воздействия;
-
Атака по наступлению ожидаемого события на атакуемом объекте;
-
Безусловная атака. Осуществляется независимо от состояния и работоспособности объекта.
-
по наличию обратной связи с атакуемом объектом:
-
с ОС. Между атакующим узлом и жертвой существует ОС, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на стороне жертвы;
-
без ОС или однонаправленная атака
-
по расположению субъекта атаки относительно жертвы:
-
внутрисегментное. Находится в одной подсети. Проще обнаружить и больше возможностей у нарушителя;
-
межсегментное или удаленное. Взаимодействие осуществляется через промежуточные узы или маршрутизаторы.
-
по уровню эталонной модели OSI, на которую осуществляется воздействие.
Методы реализации сетевых атак Сканирование портов
В результате сканирования портов злоумышленник получает сведения о запущенных на узле приложениях, что позволяет ему в дальнейшем спланировать конкретные сетевые атаки, нарушающие Д, К, Ц нескольких служб или узла в целом.
ТСР: установка соединения SYN→SYN, ACK →ACK
UDP: нет установки соединения
Методы сканирования:
1) synstealth – на каждый порт отправляется пакет ТСР с флагом SYN. Если порт открыт возвращается SYN ACK, если закрыт, то RST. 3-й шаг установления соединения не осуществляется;
2) connect – то же самое, только 3-й шаг есть;
3) UDP-scan – сканирование – если в ответ на посланный пакет не пришло ответа, то порт открыт, если ошибка, то порт закрыт;
4) NULL-Scan – отсылается пакет, заведомо неправильный с несуществующими (обнуленными) флагами, в ответ на такой пакет запущенная служба может сработать неадекватно и вернуть какое-то сообщение об ошибке, что позволит сделать вывод о запуске на порте слудбы;
5) XMAS-Scan – пакет ТСР, флаги устанавливаются в разном порядке (главное чтобы не было существующих комбинаций). Результат сканирования, как в предыдущем методе.
6) Fin-Scan – часто пакетный фильтр, защищающий порты, не допускает прохождение пакетов с флагом SYN, а с FIN успешно проходят до порта, и если в ответ на данный пакет придет АСК, то порт открыт.