- •Стандарты и рекомендации в области информационной безопасности - «Оранжевая книга» (Основные элементы политики безопасности, подотчетность,
- •Характеристика классов безопасности «Оранжевая книга»
- •Гармонизованные критерии безопасности информационных технологий Европейских странны.
- •5. Положения руководящих документов Гостехкомиссии рф.
- •6. Рекомендации X-800. Распределение функций безопасности по уровням osi.
- •7. Интерпритация «Оранжевой книги» для сетевых конфигураций
- •8. Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •9. Системы защиты вычислительной сети первого и второго рода.
- •10. Криптография.Семь критериев идеальной криптосистемы. Классификация криптосистемы.
- •11. Система с открытым ключом Диффи и Хеллмана. Криптосистема rsa с открытым ключом.
- •12. Средства формирования электронной подписи.
- •13. Алгоритм генерации дайджеста.
- •14. Принципы использования ключей формирования.
- •15.Идентификация и аутентификация.
- •16.Биометрические технологии. Виды. Достоинства и недостатки.
- •17. Протоколы аутентификации. Типы протоколов pap, chap, двухсторонняя аутентификация. Атаки на протоколы.
- •Протокол pap
- •18. Аутентификация с применением hmac. Диффи-Хелмана.
- •Протокол аутентификации с кdc. Протоколы Нидхэма-Шредера. Отуэя-Риса.
- •Kerberos. Аутентификация с помощью шифрования с открытым ключем.
- •Безопасность сети и каналов передачи данных. Действия хакера по прослушиванию и опросу. Отказ в обслуживании. Замаскированные атаки. Атака «человек посередине».
- •23.Архитестура ipsec. Варианты, типы и случаи sa.
- •24. Транспортный и ткнельный режимы ipSec. Заголовки ah и esp. Посылка и получении е данных в ipSec
- •Стандарты
- •[Править] Архитектура iPsec
- •[Править]Обработка выходных ip-пакетов
- •[Править]Обработка входных ip-пакетов
- •[Править]Encapsulating Security Payload
- •[Править]Обработка выходных iPsec-пакетов
- •[Править]Обработка входных iPsec-пакетов
- •[Править]Использование
- •25.Построение средств межсетевой защиты. Брандмауэр. Архитектура брандмауэра. Типы и классификация брандмауэров.
- •26.Построение средств межсетевой защиты. Схемы подключения брандмауэров. Недостатки Firewalls.
- •5.6. Построение средств межсетевой защиты информации
- •27.Политика безопасности. Принципы безопасности.
- •28.Уровни политики безопасности. Схема разработки политики безопасности. Меры по созданию и обеспечению политики безопасности.
- •29.Ids. Модель адаптивного управления. Классификация систем обнаружения атак. Системы обнаружения на сетевом и хост уровнях.
Безопасность сети и каналов передачи данных. Действия хакера по прослушиванию и опросу. Отказ в обслуживании. Замаскированные атаки. Атака «человек посередине».
Трудности хакера:
- он физически не находиться в сети
- не знает имена ваших компьютеров, их адреса и имена доменов
- не имеет учетной записи и пароля для вашей сети
- не знает физической и логической структуры сети
Действия хакера по прослушиванию и опросу:
- перехват пароля
- анализ трафика
- просмотр сетевых адресов
- просмотр портов
- использование DNS, Finger
- сбор информации SNMP
Отказ в обслуживании:
Блокирование одной из функций сети и вывод сети из строя
Действия:
- атака утилитой ping
- SYN-атака и ICMP запросы
- атака на конкретную службу
- переадресация DNS
- воздействие на протоколы маршрутизации
- переконфигурирование SNMP
Замаскированные атаки:
- адресация с маршрутизацией от источника
- маскировка под службы DNS, DHCP, WINS
- воспроизведение пароля, маскировка под сервер, захват пароля
Атака «человек пос ередине»:
Пиратство
Для успешного пиратства на существующем соединении TCP хакер должен уметь предсказывать номера последовательностей TCP и иметь возможность переадресовать соединение TCP/IP на свой компьютер, а также проводить атаку “отказ в обслуживании” против клиентского компьютера.
22. Организация защиты в среде TCP/IP. DoS u DDoS атаки
DoS-атака
[править]
DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что правомочные пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к захвату контроля над системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.
[править]Виды DoS-атак
Существуют различные причины, по которым может возникнуть DoS-условие:
Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.
Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).
Флуд (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.
Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.
Если атака (обычно флуд) производится одновременно с большого количества IP-адресов — с нескольких рассредоточенных в сети компьютеров — то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).
[править]Эксплуатация ошибок
Основная статья: Эксплойт
Эксплойтом называют программу, фрагмент программного кода или последовательность програмных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).
[править]Флуд
О флуде как нарушении сетевого этикета см. Флуд.
Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы как синонимы («зафлудить сервер» == «заDDoS’ить сервер»).
Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.
[править]Флуд канала связи и TCP-подсистемы
Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:
SYN-флуд — при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытыя сокетов (програмных сетевых гнезд, портов) и сервер перестаёт отвечать.
UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Естественно используется протокол UDP. Провайдеры резонно предполагают, что UDP, как сетевой протокол, обладает высшим приоритетом, чем TCP. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
ICMP-флуд — то же самое, но с помощью ICMP-пакетов.
[править]Флуд прикладного уровня
Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) — флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, — для выведения веб-сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка>.
[править]Выявление DoS-атак
Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.
Методы обнаружения DoS-атак можно разделить на несколько больших групп:
сигнатурные — основанные на качественном анализе трафика,
статистические — основанные на количественном анализе трафика,
гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.
[править]Защита от DoS-атак
Цитата
Но, как я уже упоминал, против DoS-атаки нельзя защититься на 100%. От самого лучшего танка ничего не останется, если в него попасть баллистической ракетой. Но сколько стоит ракета — и сколько танк.
captcha.ru[1]
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.