- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Атаки на транспортном уровне
1) Ранняя десинхронизация – атака, направленная на нарушение доступности при соединении К-С.
Начальные условия:
Нарушитель находится на пути трафика от К к С, имеет возможность его прослушивать и выполнять роль его посредника, генерирующего корректные пакеты для К и С.
-
К отправляет запрос на установку соединения;
-
С отвечает. К считает соединение установленным;
-
Н отправляет серверу RST (сброс)
-
От имени К Н отсылает запрос на установление соединения с новым значением ASN;
-
С возвращает К подтверждение установления соединения;
-
Н от имени К подтверждает установление соединения.
В результате атаки у К и С соединения считается установленным, однако, оно десинхронное из-за того, что у них не совпадают начальные порядковые номера сегментов протокола ТСР, т.е. любой пакет в рамках соединения будет не попадать в диапазон окна, т.е. будет считаться запрещенным. В ответ на него будет сформирован пакет переспроса, который будет запрещен для другой стороны, т.е. такое соединение спровоцирует «АСК - бурю». Узлы будут постоянно обмениваться запрещенными пакетами АСК. Это будет продолжаться до тех пор пока один из пакетов не будет утерян.
2) Локальная буря
7 – echo, любой пакет возвращается обратно
19 – chargen, возвращает пакет со строкой символов.
Нарушитель посылает единственный пакет UDP, где в качестве исходного порта указан 7, а в качестве порта получателя 19, а в качестве адресов, либо адрес двух атакуемых машин локальной сети, либо адрес одной и той же машины. В результате, попав на порт 19, пакет будет отработан и в ответ послана строка на порт 7, а 7 отразит ее на 19. Бесконечный цикл добавляет нагрузку канала и машины.
3) Затопление SYN пакетами (SYN flood)
SYN-запрос на установление соединения. В ответ на пакет SYN узел отвечает пакетом SYN ASK и переводит соединение из состояния Listen в состоянии SYN-Received. Соединение в этом состоянии переводится в специальную очередь соединений, ожидающих установления. У большинства узлов эта очередь конечна и при ее заполнении все следующие соединения будут отброшены, т.е. нарушителю достаточно генерировать не очень большое количество SYN запросов, не отвечая на подтверждения, чтобы полностью исключить возможность подключения к узлу легальных пользователей.
Атаки на прикладном уровне
1) Fishing
Атаки прикладных уровней учитывают и используют уязвимости приложений и самих пользователей. Основная цель атак – нарушение конфиденциальности, т.е. получение сведений от пользователя. Главная уязвимость пользователей это невнимательность.
-
Обработка ошибка. Создаются сайты по адресу возможных опечаток пользователей.
-
DNS spoofing - на DNS пользователя заменяется реальное имя сайта на злоумышленное.
Классификация средств сетевой защиты
В статье 274 УК 2 года тюрьмы, либо исправительные работы, либо отстранение от деятельности.
Административные методы защиты от сетевых атак:
1) Защита от анализа сетевого трафика. Основными средствами защиты IP пакетов, входящих за пределы сети (IPSec). Защита конкретных информационных ресурсов с помощью встроенных средств в приложение (SSL, Opop);
2) Защита от ложного ARP-сервера (ARP-spoofing). Основные методы защиты – это создание статической ARP-таблицы в виде файла, куда необходимо занести всю необходимую информацию о нужных IP и МАС адресах;
3) Защита от ложного DNS сервера. Внутри локальной сети для защиты можно установить внутренний DNS-сервер, который содержал бы статические записи о наиболее критичных посещаемых узлом сети Интернет;
4) Защита от DOS-атак. Основной метод защиты – использовать как можно более мощные компьютеры. На критичных узлах сети. Защищенная сетевая ОС.