1.1.2.Маршрути за замовчуванням
У таблицях маршрутизації не може бути маршрутів для всіх можливих вузлів мережі Інтернет. Зростання розмірів таблиць маршрутизації потребує більше ОЗП та обчислювальної потужності. Спеціальний тип статичного маршруту, названий маршрутом за замовчуванням, вказує який шлюз використовувати, якщо в таблиці маршрутизації немає шляху до адреси призначення. Звичайно маршрути за замовчуванням вказують наступний маршрутизатор на шляху до ІSP. У складних корпоративних середовищах маршрути за замовчуванням виводять Інтернет-трафік з мережі.
Команда для створення маршруту за замовчуванням схожа з командою для створення звичайного чи плаваючого статичного маршруту. Мережева адреса і маска позначаються як 0.0.0.0, в результаті отримуємо маршрут чотирьох нулів. У команді використовується або адреса наступного переходу, або параметри вихідного інтерфейсу.
Нулі вказують маршрутизатору, що для використання цього маршруту біти збігатися не повинні. Якщо не існує більш оптимального маршруту, маршрутизатор буде використовувати статичний маршрут за замовчуванням.
Кінцевий маршрут за замовчуванням, розташований на пограничному маршрутизаторі, відправляє трафік до ІSP. Цей маршрут позначає останній вузол в корпоративній мережі, як шлюз “останньої надії” для пакетів, що не вдається доставити. Ці дані відображаються в таблицях маршрутизації всіх маршрутизаторів.
Якщо в корпоративній мережі використовується протокол динамічної маршрутизації, пограничний маршрутизатор може відправляти маршрут за замовчуванням іншим маршрутизаторам у формі відновлення динамічних маршрутів.
Охарактеризуйте основні типи мережевих загроз.
1.1.3.Типи мережевих загроз.
Мережеві загрози можуть бути згруповані в чотири основних класи:
Неструктуровані загрози – складаються в основному з дій недосвідчених осіб, що використовують легко доступні хакерські утиліти (скрипти, зломщики паролів). Але навіть неструктуровані загрози, які виконуються тільки з метою тестування навичок атакуючого можуть завдати серйозної шкоди мережі.
Структуровані загрози – складаються з дій окремих осіб або груп з більшою мотивацією та технічно компетентних. Ці люди знають вразливі місця системи та використовують витонченіші методи злому.
Зовнішні загрози – можуть виникнути від окремих осіб або організацій, що працюють за межами компанії, які не мають авторизованого доступу до комп'ютерних систем або мережі. Вони отримують доступ до мережі в основному з Інтернету або серверів комутованого доступу. Зовнішні загрози можуть змінюватись в залежності від важкості – від любительських (неструктурованих) до професійних (структорованих).
Внутрішні загрози – виникають, коли хтось має несанкціонований доступу до мережі з будь-яким обліковим записом або фізичний доступ. Так само, як для зовнішніх загроз, важкість внутрішніх загроз залежить від вмінь та навичок зловмисника.
Існує чотири типи основних мережевих загроз.
Розвідка – це несанкціоноване виявлення та дослідження систем, послуг, вразливостей. Як правило, виконується перед іншими типами атак. До таких атак належить:
збір інформації;
рing sweeps;
сканування портів;
packet sniffers.
Доступ – доступ до системи надає можливість зловмиснику отримати доступ до пристрою, для якого зловмисник не має облікового запису або паролю. Доступу до системи зазвичай включає скрипти та інструменти, що використовують відомі вразливості До таких атак належать:
атаки на пароль;
довірливі відносини;
перенаправлення портів.
Відмова в обслуговуванні (DoS) – атака, що дозволяє зловмиснику зіпсувати роботу мережі, системи чи послуги з метою унеможливити надання послуг користувачам. До таких атак належить:
рing of death;
SYN Flood;
DDos атаки.
Черв’яки, віруси, троянські коні – шкідливе програмне забезпечення, яке може бути встановлене на хост і пошкоджувати, псувати роботу системи, копіювати себе, або відмовити в доступі до мережі, системи або послуги.
Кожен різновид мережевих атак характеризується використанням певних засобів.
Атаки на рівні прикладних програм здійснюються різними методами. Одним з найпоширеніших методів є використання слабких місць в програмному забезпеченні, яке встановлено на серверах (типу sendmail, HTTP і FTP). Використовуючи слабкі міця, зловмисники можуть отримати доступ до сервера. Основна проблема таких атак у використанні портів, які дозволені в міжмережевому екрані. Наприклад, атака на веб-сервер через ТСР порт 80.
Авторутери – це програми, які автоматизують процес злому. Комп’ютери послідовно скануються, досліджуються і захоплюються шляхом встановлення rootkit і використання захопленої системи для автоматизації процесу вторгнення. Автоматизація дозволяє зловмисники сканувати сотні тисяч систем за короткий проміжок часу.
Backdoors – це входи в систему, які можуть бути створені під час вторгнення або за допомогою використання спеціально розробленого троянського коня. Якщо backdoor не виявлений і вразливість не виправлена, то зловмисник може використовувати його повторно. Досить часто зловмисники використовують такі комп’ютери для DoS атак.
Відмова в обслуговуванні (DoS) та розподілена відмова в обслуговуванні (DDoS) – одні з найсерйозніших атак з точки зору їх ліквідації. Атаки такого типу, як правило, не мають на меті отримання доступу до мережі або отримання інформації. Вони призначені для порушення нормальної роботи системи і мають наступні різновиди:
TCP SYN Flood – при встановленні TCP-з’єднання з сервером відбувається обмін певною послідовністю повідомлень. Клієнт посилає SYN-пакет на сервер. Потів сервер підтверджує отримання SYN-пакета посилаючи SYN-ACK повідомлення клієнту. Тоді клієнт завершує встановлення з’єднання відповідаючи повідомленням ACK, після чого відбувається обмін даними. В момент, коли сервер надіслав підтвердження (SYN-ACK) назад клієнту, Але ще не отримав повідомлення ACK, встановлюється напіввідкрите з’єднання. Дані по всіх з’єднаннях, які очікують опрацювання з’єднань знаходяться в пам’яті сервера, яка відповідно може переповнитись, якщо створювати багато напіввідкритих з’єднань.
Ping of Death – надсилання дуже великих ІP-пакетів, які можуть викликати зависання та перезавантаження системи, оскільки TCP/IP підтримує максимальний розмір пакета в 65Кб.
IP spoofing – підміна IP-адрес. Зловмисник всередині мережі або ззовні видає себе за вузол, якому можна довіряти використовуючи IP-адресу, яка є в списку дозволених для даної мережі, або авторизовану зовнішню IP-адресу, з якої дозволений доступ до певних ресурсів. Атаки IP spoofing часто є початковим етапом інших типів атак.
Мережева розвідка – це масштабні дії по вивченню інформації про мережу з використанням доступної нформації та прикладних програм. Розвідка може здійснюватись у формі запитів DNS-серверу, сканування діапазону IP-адрес (ping sweeps) та сканування портів, вивченні характеристик прикладних програм. Ця інформація буде корисною при спробі зловмисника порушити роботу системи.
Packet sniffers – використання мереженого адаптера в режимі обробки всіх пакетів, які фізично отримані з мережі. Сніфери пакетів використовуються легально в мережах для аналізу трафіку та пошуку несправностей. Оскільки, деякі мережеві програми посилають інформацію відкритим текстом (telnet, FTP, SMTP, POP3 та ін.), сніфінг пакетів може забезпечити отримання важливої інформації, наприклад логінів та паролей. Враховуючи використання користувачами однакових імен та паролів для доступу до різних програм та систем це може бути серйозною проблемою.
Password attacks – атаки для злому паролів можуть використовувати різні методи: brutal force, троянський кінь, IP spoofing та packet sniffers.
Port redirection attacks – цей тип атак використовує захоплений узол для передачі трафіку через міжмережевий екран.
Вірусні і троянські атаки – використовують небезпечні програми, які приєднюють до інших програм, щоб виконати якусь деструктивну функцію на комп’ютері користувача.
Симетричне та асиметричне шифрування у VPN мережах.
Симетричне шифрування
Алгоритми шифрування, такі як DES і 3DES вимагають загальний секретний ключ для шифрування і дешифрування. Кожен з двох комп'ютерів має знати ключ для декодування інформації. За допомогою симетричного ключа шифрування, (секретного ключа шифрування), кожен комп'ютер, шифрує інформацію перед відправкою по мережі на інший комп'ютер. Для шифрування симетричним ключем потрібно знати, які комп'ютери будуть комунікувати один з одним, щоб ключ міг бути налаштований на кожному комп'ютері.
Проблема тільки в тому, як забезпечити загальний секретний ключ для пристроїв шифрування і дешифрування. Для цього можна використати електронну пошту, кур'єрську доставку та ін. Більш простим і безпечнішим є метод асиметричного шифрування.
Асиметричне шифрування
Асиметричне шифрування використовує різні ключі для шифрування і дешифрування. Знання одного з ключів не дозволяє вирахувати другий ключ і декодувати інформацію. Один ключ шифрує повідомлення, а другий ключ розшифровує повідомлення. Не можливо шифрувати і дешифрувати інформацію одним ключем.