Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст

Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст




Сторінка9/18
Дата конвертації12.05.2017
Розмір1.43 Mb.
ТипЗвіт
1   ...   5   6   7   8   9   10   11   12   ...   18

3.4 Типи мережевих атак


На практиці IP-мережі уразливі для ряду способів несанкціонованого вторгнення в процес обміну даними. По мірі розвитку комп'ютерних і мережевих технологій (наприклад, з появою мобільних Java-додатків і елементів ActiveX) список можливих типів мережевих атак на IP-мережі постійно розширяється. Мережеві атаки такі ж різноманітні, як і системи, проти яких вони направлені. Деякі атаки відрізняються великою складністю. Інші здатний здійснити звичайний оператор, що навіть не припускає, до яких наслідків може привести його діяльність. На сьогоднішній день найпоширенішими є наступні варіанти атак:

підслуховування. Більшість даних передається по комп'ютерних мережах в незахищеному форматі (відкритим текстом), що дозволяє зловмиснику, що дістав доступ до ліній передачі інформації в мережі, підслуховувати або прочитувати трафік. Підслуховування в комп'ютерних мережах називається стеженням (sniffing, або snooping). Якщо не використовувати служб, що забезпечують стійке шифрування, то дані, що передаються по мережі, будуть доступні для читання. Для підслуховування в комп'ютерних мережах можуть використовуватися так звані сніфери пакетів. Сніфер пакетів є прикладною програмою, що перехоплює всі мережеві пакети, які передаються через певний домен. В даний час сніфери працюють в мережах на цілком законній підставі. Вони використовуються для діагностики несправностей і аналізу трафіку. Проте з огляду на те, що деякі мережеві додатки передають дані в текстовому форматі (Telnet, FTP, SMTP, РОРЗ і т.д.), за допомогою сніфера можна взнати корисну, а іноді і конфіденційну інформацію (наприклад, імена користувачів і паролі);

парольні атаки. Хакери можуть проводити парольні атаки за допомогою цілого ряду методів, таких як IP-спуфинг і сніфінг пакетів, атака повного перебору (brute force attack), «троянський кінь».
Метод «грубої сили» (від англ. Brute force; або повний перебір) - метод рішення криптографічної задачі шляхом перебору всіх можливих варіантів ключа. Складність повного перебору залежить від кількості всіх можливих рішень задачі.
Перехоплення паролів і імен користувачів, що передаються по мережі в незашифрованій формі, шляхом «підслуховування» каналу (password sniffing) створює велику небезпеку, оскільки користувачі часто застосовують один і той же логін і пароль для множини додатків і систем. Багато користувачів взагалі мають один пароль для доступу до всіх ресурсів і додатків. Якщо додаток працює в режимі «клієнт-сервер», а автентифікаційні дані передаються по мережі в читаному текстовому форматі, цю інформацію з великою вірогідністю можна використовувати для доступу до інших корпоративних або зовнішніх ресурсів. Хоча логін і пароль часто можна одержати за допомогою IP-спуфинга і сніфінга пакетів, хакери часто намагаються підібрати пароль і логін, використовуючи для цього численні спроби доступу. Часто для атаки повного перебору використовується спеціальна програма, яка дає можливість дістати доступ до ресурсу загального користування (наприклад, до серверу). В результаті хакер допускається до ресурсів на правах звичайного користувача, пароль якого був підібраний. Якщо цей користувач має значні привілеї доступу, хакер може створити собі «прохід» для майбутнього доступу, який буде відкритий, навіть якщо користувач змінить свій пароль і логін;

зміна даних. Зловмисник, що дістав можливість прочитати ваші дані, зможе зробити і наступний крок – змінити їх. Дані в пакеті можуть бути змінені, навіть коли порушник нічого не знає ні про відправника, ні про одержувача. Якщо користувач і не потребує строгої конфіденційності інформації, що передається, напевно він не захоче, щоб його дані були змінені по дорозі;

«вгаданий ключ». Ключ є кодом або числом, необхідним для розшифровки захищеної інформації. Хоча взнати ключ доступу важко і потрібні великі витрати ресурсів, проте це можливо. Ключ, до якого дістає доступ атакуючий, називається скомпрометованим. Атакуючий використовує скомпрометований ключ для отримання доступу до захищених даних без відома відправника і одержувача. Ключ дає право розшифровувати і змінювати дані, а також обчислювати інші ключі, які можуть дати атакуючому доступ і до інших захищених з'єднань;



підміна довіреного суб'єкта. Велика частина мереж і операційних систем використовують IP-адресу комп'ютера для того, щоб визначати, чи той це адресат, який потрібен. В деяких випадках можливе некоректне привласнення IP-адреси (підміна IP-адреси відправника іншою адресою) – такий спосіб атаки називають фальсифікацією адреси (IP spoofing). IP-спуфинг відбувається, коли хакер, що знаходиться усередині корпорації або поза нею, видає себе за санкціонованого користувача. Порушник може скористатися IP-адресою, що знаходиться в межах діапазону санкціонованих IP-адрес, або авторизованою зовнішньою адресою, якій дозволяється доступ до певних мережевих ресурсів;

перехоплення сеансу (session hijacking). Для здійснення перехоплення сеансу після закінчення початкової процедури автентифікації хакер перемикає встановлене з'єднання, скажімо, з поштовим сервером на новий хост, а початковому серверу видається команда розірвати з'єднання.
Поштовий сервер, сервер електронної пошти - в системі пересилки електронної пошти так зазвичай називають агент пересилання повідомлень (англ. mail transfer agent, MTA). Це комп'ютерна програма, яка передає повідомлення від одного комп'ютера до іншого.
В результаті ваш «співбесідник» виявляється непомітно підміненим. Після отримання доступу до мережі зловмисник одержує велику свободу дій. Він може надіслати некоректні дані додаткам і мережевим службам, що приводить до їх аварійного завершення або неправильного функціонування; заповнити комп'ютер або всю мережу трафіком, поки не відбудеться зупинка системи у зв'язку з перевантаженням; блокувати трафік, що приведе до втрати доступу авторизованих користувачів до мережевих ресурсів;

посередництво. Атака типу «посередництво» має на увазі активне підслуховування, перехоплення і управління передаваними даними невидимим проміжним вузлом. Коли комп'ютери взаємодіють на низьких мережевих рівнях, вони не завжди можуть визначити, з ким саме обмінюються даними;

посередництво в обміні незашифрованими ключами (man-in-the-middle). Якщо атаки попередніх типів увінчалися успіхом, їх автор може втрутитися в процес передачі ключів між сторонами і підставити їм власний ключ для подальшого використовування. Взагалі для атаки типу man-in-the-middle хакеру потрібен доступ до пакетів, передаваних по мережі. Такий доступ до всіх пакетів, передаваних від провайдера в будь-яку іншу мережу, може, наприклад, одержати співробітник цього провайдера. Для атак цього типу часто використовуються сніфери пакетів, транспортні протоколи і протоколи маршрутизації. Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії і отримання доступу до приватних мережевих ресурсів, для аналізу трафіку і отримання інформації про мережу і її користувачів, для проведення атак типу DoS, спотворення передаваних даних і введення несанкціонованої інформації в мережеві сесії;

відмова в обслуговуванні (DoS). Атаки типу «відмова в обслуговуванні» є найвідомішою формою атак хакерів. Ці атаки не націлені на отримання доступу до вашої мережі або до якої-небудь інформації з неї. Атака DoS робить вашу мережу недоступною для звичного використовування за рахунок перевищення допустимих меж функціонування мережі, операційної системи або додатку. У разі використовування деяких серверних додатків (таких як Web- або FTP-сервер) атаки DoS можуть полягати в тому, щоб зайняти всі з'єднання, доступні для цих додатків, і тримати їх в зайнятому стані, не допускаючи обслуговування користувачів. В ході атак можуть використовуватися звичні Internet-протоколи, наприклад TCP і ICMP (Internet Control Message Protocol). Більшість атак DoS спирається на загальні слабкості системної архітектури.
Систе́мна архітекту́ра або архітектура систем - це сукупність зв'язків між частинами системи. Існують різні визначення системної архітектури, і різні організації описують ії різними способами. В стандарті ISO/IEC/IEEE 42010:2011 “Systems and software engineering – Architecture description” архітектура – це властивості системи в тілені в її елементах, зв'язках між ними і принципах проектування.
Деякі атаки DoS зводять до нуля продуктивність мережі, переповнюючи її небажаними і непотрібними пакетами або повідомляючи помилкову інформацію про поточний стан мережевих ресурсів. Якщо атака цього типу проводиться одночасно через множину пристроїв, її називають розподіленою атакою DoS (DDoS -distributed DoS);

атаки на рівні додатків. Такі атаки можуть проводитися декількома способами. Найпоширеніший з них полягає у використовуванні слабкостей серверного програмного забезпечення (SendМail, HTTP, FTP). В результаті хакери можуть дістати доступ до комп'ютера від імені користувача, що працює з додатком (звичайно це не простий користувач, а привілейований адміністратор з правами системного доступу). Відомості про атаки на рівні додатків широко публікуються, щоб дати можливість адміністраторам запобігти їм за допомогою коректувальних модулів (патчів). Головна проблема з атаками на рівні додатків полягає у тому, що вони часто користуються портами, яким дозволений прохід через міжмережевий екран. Наприклад, хакер, що експлуатує відому слабкість Web-серверу, часто використовує в ході атаки ТСР-порт 80. Оскільки Web-сервер відкриває користувачам Web-сторінки, міжмережевий екран повинен надавати доступ до цього порту. Міжмережевий екран розглядає таку атаку як стандартний трафік для порту 80. Повністю виключити атаки на рівні додатків неможливо. Хакери постійно знаходять всі нові вразливі місця прикладних програм і публікують в Internet інформацію про них. Тому дуже важливо організувати хороше системне адміністрування системи;

зловживання довірою. Цей тип дій не є в повному розумінні атакою. Такі дії є зловмисним використовуванням відносин довіри, існуючих в мережі. Класичним прикладом такого зловживання є ситуація в периферійній частині корпоративної мережі. У цьому сегменті часто розташовуються сервери DNS, SMTP і HTTP. Оскільки всі вони належать до одного і того ж сегменту, злам одного з них приводить до зламу і всіх інших, оскільки ці сервери довіряють іншим системам своєї мережі;

віруси і додатки типу «троянський кінь». Робочі станції кінцевих користувачів уразливі для вірусів і «троянських коней». Вірусами називаються шкідливі програми, які упроваджуються в інші програми для виконання певної небажаної функції на робочій станції кінцевого користувача. Як приклад можна привести вірус, який прописується у файлі command.com (головному інтерпретаторі систем Windows) і видаляє інші файли, а також заражає всі знайдені ним версії command.com. «Троянський кінь» є не програмною вставкою, а справжньою програмою, яка виглядає як корисний додаток, на ділі виконуючи руйнівну акцію. Прикладом типового «троянського коня» є програма, яка здається звичною грою для робочої станції користувача. Проте поки користувач грає в цю «гру», шкідлива програма відправляє свою копію по електронній пошті кожному абоненту, занесеному в адресну книгу користувача. Всі абоненти одержують поштою «гру» і мимовільно сприяють її подальшому розповсюдженню. Боротьба з вірусами і «троянськими кіньми» ведеться за допомогою ефективного антивірусного програмного забезпечення, що працює на призначеному для користувача або мережевому рівні.
Шкідливий програмний засіб (англ. Malware - скорочення від malicious - зловмисний і software - програмне забезпечення) - програмне забезпечення, яке перешкоджає роботі комп'ютера, збирає конфіденційну інформацію або отримує доступ до приватних комп'ютерних систем.
Антивірусна програма (антивірус) - спеціалізована програма для знаходження комп'ютерних вірусів, а також небажаних (шкідливих) програм загалом та відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараження (модифікації) файлів чи операційної системи шкідливим кодом.
Антивірусні засоби здатні знайти більшість вірусів і «троянських коней» і присікти їх розповсюдження. Регулярне отримання і використовування найсвіжішої інформації про віруси допомагає ефективно боротися з ними. По мірі появи чергових вірусів і «троянських коней» необхідно встановлювати нові версії антивірусних засобів і додатків;

мережева розвідка. Мережевою розвідкою називається збір інформації про мережу за допомогою загальнодоступних даних і додатків. Мережева розвідка проводиться у формі запитів DNS, луна-тестування (ping sweep) і сканування портів. Запити DNS допомагають зрозуміти, хто володіє тим або іншим доменом і які адреси цьому домену привласнені. Відлуння-тестування адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють в даному середовищі. Одержавши список хостов, хакер використовує засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостамі. І, нарешті, «розвідник» аналізує характеристики додатків, що працюють на хостах. В результаті здобувається інформація, яку можна використовувати для реалізації атаки.

Неважко бачити, що перераховані вище атаки можливі через низку обставин:



  • по-перше, автентифікація відправника здійснюється виключно по його IP-адресі;

  • по-друге, процедура автентифікації виконується тільки на стадії встановлення з'єднання – надалі достовірність пакетів, що приймаються, не перевіряється;

  • по-третє, найважливіші дані, що мають відношення до системи, передаються по мережі в незашифрованому вигляді.
1   ...   5   6   7   8   9   10   11   12   ...   18