Invoering

Aanval op een computersysteem is een actie die door een aanvaller wordt ondernomen om een ​​bepaalde kwetsbaarheid te vinden en te gebruiken. Een aanval is dus een realisatie van een dreiging. Merk op dat een dergelijke interpretatie van een aanval (waarbij een persoon met kwade bedoelingen betrokken is) het toevalselement uitsluit dat aanwezig is in de definitie van een bedreiging, maar, zoals de ervaring leert, is het vaak onmogelijk om onderscheid te maken tussen opzettelijke en onopzettelijke acties, en een goed afweersysteem moet adequaat reageren op een van hen. ...

Bedreiging openbaring is dat informatie bekend wordt bij iemand die het niet zou moeten weten. In termen van computerbeveiliging doet zich een onthullingsdreiging voor wanneer toegang wordt verkregen tot vertrouwelijke informatie, hetzij opgeslagen op een computersysteem, hetzij overgedragen van het ene systeem naar het andere. Soms worden de termen "diefstal" of "lekkage" gebruikt in plaats van het woord "openbaarmaking".

Bedreiging integriteit omvat elke opzettelijke wijziging (wijziging of zelfs verwijdering) van gegevens die zijn opgeslagen in een computersysteem of van het ene systeem naar het andere worden overgedragen. Over het algemeen wordt aangenomen dat de dreiging van openbaarmaking kwetsbaarder is voor overheidsinstanties en de bedreiging voor integriteit - zakelijk of commercieel.

Bedreiging denial of service treedt op wanneer, als gevolg van bepaalde acties, de toegang tot een bepaalde bron van het computersysteem wordt geblokkeerd. In feite kan blokkering permanent zijn, zodat de gevraagde bron nooit wordt verkregen, of het kan de gevraagde bron alleen lang genoeg vertragen om onbruikbaar te worden. In dergelijke gevallen wordt gezegd dat de bron is uitgeput.

Typische bedreigingen in de internetomgeving zijn:

· Storing van een van de netwerkcomponenten. Falen als gevolg van ontwerpfouten of hardware- of softwarefouten kan leiden tot denial of service of de beveiliging in gevaar brengen als gevolg van een storing in een van de netwerkcomponenten. Falen van een firewall of valse autorisatieweigeringen door authenticatieservers zijn voorbeelden van storingen die een impact hebben op de beveiliging.

· Informatie scannen. Ongeoorloofde weergave van kritieke informatie door indringers of geautoriseerde gebruikers kan plaatsvinden met behulp van verschillende mechanismen - e-mail met de verkeerde ontvanger, afdruk van de printer, verkeerd geconfigureerde toegangscontrolelijsten, delen van dezelfde ID door meerdere mensen, enz.

· Misbruik van informatie - gebruik van informatie voor andere dan toegestane doeleinden kan leiden tot denial of service, onnodige kosten, reputatieverlies. Zowel interne als externe gebruikers kunnen de boosdoener zijn.

· Maskerade - pogingen om zichzelf te vermommen als een geautoriseerde gebruiker om diensten of informatie te stelen, of om financiële transacties te starten die leiden tot financiële verliezen of problemen voor de organisatie.

1. Aanvalsdetectie

Historisch gezien zijn de technologieën die worden gebruikt om systemen voor aanvalsdetectie te bouwen, gewoonlijk onderverdeeld in twee categorieën: detectie van afwijkingen en detectie van misbruik. In de praktijk wordt echter een andere classificatie gebruikt, rekening houdend met de principes van de praktische implementatie van dergelijke systemen: aanvalsdetectie op netwerkniveau (netwerkgebaseerd) en op hostniveau (hostgebaseerd). De eerste analyseert het netwerkverkeer, terwijl de laatste het besturingssysteem of de applicatielogboeken analyseert. Elk van de klassen heeft zijn eigen voor- en nadelen, maar daarover later meer. Opgemerkt moet worden dat slechts enkele inbraakdetectiesystemen ondubbelzinnig kunnen worden toegewezen aan een van de genoemde klassen. In de regel bevatten ze de mogelijkheden van verschillende categorieën. Deze classificatie weerspiegelt echter de belangrijkste mogelijkheden die het ene inbraakdetectiesysteem van het andere onderscheiden.

Momenteel is anomaliedetectietechnologie niet wijdverbreid en wordt deze niet gebruikt in een commercieel gedistribueerd systeem. Dit komt doordat deze technologie er in theorie mooi uitziet, maar in de praktijk erg lastig te implementeren is. Nu is er echter een geleidelijke terugkeer naar (vooral in Rusland), en het is te hopen dat gebruikers binnenkort de eerste commerciële aanvalsdetectiesystemen zullen zien die deze technologie gebruiken.

Een andere benadering van aanvalsdetectie is misbruikdetectie, wat erin bestaat een aanval te beschrijven in de vorm van een patroon of handtekening en naar dit patroon te zoeken in een gecontroleerde ruimte (netwerkverkeer of log). Antivirussystemen zijn een goed voorbeeld van een inbraakdetectiesysteem dat deze technologie gebruikt.

Zoals hierboven vermeld, zijn er twee soorten systemen die aanvallen op netwerk- en operationeel niveau detecteren. Het fundamentele voordeel van netwerkgebaseerde inbraakdetectiesystemen is dat ze aanvallen identificeren voordat ze de doelhost bereiken. Deze systemen zijn gemakkelijker te implementeren in grote netwerken omdat ze niet hoeven te worden geïnstalleerd op de verschillende platforms die in de organisatie worden gebruikt. In Rusland zijn MS-DOS, Windows 95, NetWare en Windows NT de meest voorkomende besturingssystemen. Verschillende UNIX-dialecten zijn in ons land nog niet zo wijdverbreid als in het Westen. Bovendien hebben inbraakdetectiesystemen op netwerkniveau weinig of geen invloed op de netwerkprestaties.

Host-gebaseerde inbraakdetectiesystemen zijn ontworpen om te werken onder een specifiek besturingssysteem, dat bepaalde beperkingen aan hen oplegt. Ik ken bijvoorbeeld geen enkel systeem van deze klasse dat onder MS-DOS of Windows for Workgroups werkt (en deze besturingssystemen zijn nog steeds vrij wijdverbreid in Rusland). Met behulp van kennis over hoe het besturingssysteem zich hoort te "dragen", kunnen hulpprogramma's die met deze aanpak zijn gebouwd, soms indringers detecteren die hulpprogramma's voor detectie van netwerkaanvallen over het hoofd zien. Dit wordt echter vaak tegen hoge kosten bereikt, omdat de aanhoudende registratie die nodig is om dit soort detectie uit te voeren, de prestaties van de beschermde host aanzienlijk vermindert. Dergelijke systemen belasten de processor zwaar en vereisen grote hoeveelheden schijfruimte voor het opslaan van logs en zijn in principe niet toepasbaar voor zeer kritische systemen die in realtime werken (bijvoorbeeld het Operational Day-systeem van de Bank of het dispatch control-systeem). Hoe dan ook, beide benaderingen kunnen worden gebruikt om uw organisatie te beschermen. Als u een of meer knooppunten wilt beschermen, kunnen inbraakdetectiesystemen op hostniveau een goede keuze zijn. Als u echter een groot deel van de netwerkknooppunten van uw organisatie wilt beschermen, zijn inbraakdetectiesystemen op netwerkniveau waarschijnlijk de beste keuze, aangezien het verhogen van het aantal knooppunten op het netwerk op geen enkele manier invloed zal hebben op het beveiligingsniveau dat door inbraak wordt bereikt. detectie systemen. Het zal extra nodes kunnen beschermen zonder extra configuratie, terwijl in het geval van gebruik van een systeem dat op hostniveau werkt, u het voor elke beschermde host moet installeren en configureren. De ideale oplossing zou een inbraakdetectiesysteem zijn dat beide benaderingen combineert.

Commercial Intrusion Detection Systems (IDS) die momenteel op de markt zijn, gebruiken een netwerk- of systeembenadering om aanvallen te herkennen en te beperken. Hoe dan ook, deze producten zijn op zoek naar aanval handtekeningen, specifieke patronen die meestal wijzen op vijandig of verdacht gedrag. Bij het zoeken naar deze patronen in netwerkverkeer werkt IDS aan netwerk niveau. Als IDS in het besturingssysteem of de toepassingslogboeken zoekt naar handtekeningen van aanvallen, dan is het: systeem niveau. Elke benadering heeft zijn eigen voor- en nadelen, maar beide vullen elkaar aan. Het meest effectief is een inbraakdetectiesysteem dat beide technologieën in zijn werk gebruikt. Dit artikel bespreekt de verschillen in methoden voor het detecteren van aanvallen op netwerk- en systeemniveau om hun sterke en zwakke punten aan te tonen. Het beschrijft ook hoe elke methode kan worden gebruikt om aanvallen het meest effectief te detecteren.

1.1. Detectie van netwerklaagaanvallen

Detectiesystemen voor netwerklaagaanvallen gebruiken onbewerkte netwerkpakketten als gegevensbron voor analyse. Doorgaans gebruiken netwerklaag-IDS's een promiscue netwerkadapter en analyseren ze verkeer in realtime terwijl het door het netwerksegment reist. De Attack Recognition Engine gebruikt vier bekende methoden om een ​​aanvalssignatuur te herkennen:

o Naleving van verkeer met een patroon (handtekening), uitdrukking of bytecode, kenmerkend voor een aanval of verdachte actie;

o Monitoring van de frequentie van gebeurtenissen of overschrijding van de drempel;

o Correlatie van verschillende gebeurtenissen met een lage prioriteit;

o Detectie van statistische anomalieën.

Zodra een aanval is gedetecteerd, biedt de responsmodule een breed scala aan opties voor melding, alarm en tegenmaatregelen als reactie op de aanval. Deze opties variëren van systeem tot systeem, maar omvatten doorgaans: de beheerder op de hoogte stellen via de console of e-mail, de verbinding met de aanvallende host beëindigen en/of een sessie opnemen voor latere analyse en het verzamelen van bewijsmateriaal.

1.2. Detectie van aanvallen op systeemniveau

In het begin van de jaren tachtig, voordat netwerken zich zelfs maar ontwikkelden, was de meest gebruikelijke praktijk voor het detecteren van aanvallen het scannen van logboeken op gebeurtenissen die duidden op verdachte activiteit. De huidige inbraakdetectiesystemen op systeemniveau blijven een krachtig hulpmiddel voor het begrijpen van aanvallen die al hebben plaatsgevonden en het identificeren van geschikte methoden om het toekomstige gebruik ervan aan te pakken. Moderne IDS'en op systeemniveau gebruiken nog steeds logboeken, maar ze zijn meer geautomatiseerd en bevatten geavanceerde detectiemethoden die zijn gebaseerd op het nieuwste onderzoek in de wiskunde. Doorgaans bewaakt IDS op systeemniveau het systeem, gebeurtenissen en beveiligingslogboeken (syslog) op netwerken met Windows NT of Unix. Wanneer een van deze bestanden verandert, vergelijkt IDS de nieuwe vermeldingen met aanvalssignaturen om te zien of er een overeenkomst is. Als een dergelijke overeenkomst wordt gevonden, stuurt het systeem een ​​alarm naar de beheerder of activeert het andere vooraf gedefinieerde reactiemechanismen.

IDS op systeemniveau evolueert voortdurend en bevat geleidelijk steeds meer nieuwe detectiemethoden. Een van die populaire technieken is om de controlesommen van de belangrijkste systeem- en uitvoerbare bestanden met regelmatige tussenpozen te controleren op ongeoorloofde wijzigingen. Tijdigheid van de respons is direct gerelateerd aan de frequentie van de peiling. Sommige producten luisteren op actieve poorten en stellen de beheerder op de hoogte wanneer iemand toegang probeert te krijgen. Dit type detectie introduceert een rudimentair niveau van detectie van aanvallen op netwerkniveau in de besturingsomgeving.

1.3. Voordelen van inbraakdetectiesystemen op een netwerklaag

IDS's op netwerkniveau hebben veel voordelen die niet worden gevonden in inbraakdetectiesystemen op systeemniveau. Veel klanten gebruiken zelfs een inbraakdetectiesysteem op een netwerklaag vanwege de lage kosten en de tijdige reactie. Hieronder volgen de belangrijkste redenen waarom inbraakdetectie op netwerkniveau het belangrijkste onderdeel is van een effectieve handhaving van het beveiligingsbeleid.

1. Lage eigendomskosten. Network Layer IDS moet op de meest kritieke locaties op het netwerk worden geïnstalleerd om het verkeer tussen meerdere systemen te regelen. Netwerklaagsystemen vereisen niet dat inbraakdetectiesoftware op elke host wordt geïnstalleerd. Aangezien het aantal sites waarop IDS is geïnstalleerd om het hele netwerk te bewaken klein is, zijn de kosten om ze op het bedrijfsnetwerk te gebruiken lager dan de kosten van het gebruik van inbraakdetectiesystemen op systeemniveau.

2. Detectie van aanvallen die op systeemniveau worden overgeslagen. Netwerklaag IDS onderzoekt de headers van netwerkpakketten op verdachte of vijandige activiteiten. IDS'en op systeemniveau werken niet met pakketheaders, daarom kunnen ze dit soort aanvallen niet detecteren. Veel netwerk-denial-of-service- en TearDrop-aanvallen kunnen bijvoorbeeld alleen worden geïdentificeerd door de pakketheaders te onderzoeken terwijl ze door het netwerk reizen. Dit type aanval kan snel worden geïdentificeerd met behulp van een netwerklaag-IDS die het verkeer in realtime bewaakt. Netwerklaag-IDS's kunnen de inhoud van een pakketgegevenslichaam onderzoeken, op zoek naar opdrachten of specifieke syntaxis die bij specifieke aanvallen worden gebruikt. Wanneer een hacker bijvoorbeeld het Back Orifice-programma probeert te gebruiken op systemen die er nog niet door worden beïnvloed, kan dit feit worden gedetecteerd door de inhoud van de databody van het pakket te onderzoeken. Zoals hierboven vermeld, werken systemen op systeemniveau niet op netwerkniveau en kunnen dergelijke aanvallen daarom niet detecteren.

3. Voor een hacker is het moeilijker om sporen van hun aanwezigheid te verwijderen. Network Layer IDS gebruikt live verkeer om aanvallen in realtime te detecteren. Zo kan de hacker de sporen van zijn aanwezigheid niet verwijderen. De geanalyseerde gegevens bevatten niet alleen informatie over de aanvalsmethode, maar ook informatie die kan helpen bij het identificeren van de aanvaller en het bewijzen hiervan in de rechtszaal. Omdat veel hackers bekend zijn met de logboeken, weten ze hoe ze deze bestanden moeten manipuleren om hun sporen te verbergen, wat de efficiëntie vermindert van de systemen op systeemniveau die deze informatie nodig hebben om een ​​aanval te detecteren.

4. Detectie en reactie in realtime. IDS'en op netwerkniveau detecteren verdachte en vijandige aanvallen EVENALS ZE HEBBEN, en bieden daarom veel snellere meldingen en reacties dan IDS'en op systeemniveau. Een hacker die bijvoorbeeld een op TCP gebaseerde denial-of-service netwerklaagaanval initieert, kan worden gestopt door de netwerklaag-IDS die de ingestelde Reset-vlag in de TCP-header verzendt om de verbinding met de aanvaller te beëindigen voordat de aanval vernietiging of schade aanricht aan de aanvaller. gastheer. IDS'en op systeemniveau herkennen aanvallen meestal pas als ze zijn geregistreerd en reageren nadat het logboek is geschreven. Tegen die tijd zijn de belangrijkste systemen of bronnen mogelijk al gecompromitteerd of is het systeem waarop de IDS op systeemniveau draait mogelijk verstoord. Dankzij realtime notificaties kunt u snel reageren volgens vooraf gedefinieerde parameters. Het bereik van deze reacties varieert van het toestaan ​​van infiltratie in de bewakingsmodus om informatie over de aanval en de aanvaller te verzamelen tot het onmiddellijk beëindigen van de aanval.

5. Detectie van mislukte aanvallen of verdachte bedoelingen. Een netwerklaag-IDS die buiten de firewall (ITU) is geïnstalleerd, kan aanvallen detecteren die zijn gericht op bronnen achter de ITU, ook al zal de ITU deze pogingen afslaan. Systemen op systeemniveau zien geen gereflecteerde aanvallen die de host achter de ITU niet bereiken. Deze verloren informatie kan het belangrijkste zijn bij het beoordelen en verbeteren van het beveiligingsbeleid.

6. OS-onafhankelijkheid. IDS op netwerkniveau zijn onafhankelijk van de besturingssystemen die op het bedrijfsnetwerk zijn geïnstalleerd. Inbraakdetectiesystemen op systeemniveau vereisen specifieke besturingssystemen om goed te functioneren en de gewenste resultaten te genereren.

1.4. Voordelen van inbraakdetectiesystemen op systeemniveau

Hoewel inbraakdetectiesystemen op systeemniveau niet zo snel zijn als hun tegenhangers op netwerkniveau, bieden ze voordelen die deze laatste niet hebben. Deze voordelen omvatten meer rigoureuze analyse, meer aandacht voor gebeurtenisgegevens op een specifieke host en lagere implementatiekosten.

1. Bevestigt het succes of falen van de aanval. Omdat IDS'en op systeemniveau logbestanden gebruiken met gegevens over gebeurtenissen die daadwerkelijk hebben plaatsgevonden, kunnen IDS'en van deze klasse met hoge nauwkeurigheid bepalen of een aanval echt succesvol was of niet. In dit opzicht vormen IDS'en op systeemniveau een uitstekende aanvulling op inbraakdetectiesystemen op netwerkniveau. Deze combinatie zorgt voor een vroegtijdige waarschuwing met de netwerkcomponent en het "succes" van een aanval met de systeemcomponent.

2. Bewaakt de activiteit van een specifiek knooppunt. IDS op systeemniveau bewaakt gebruikersactiviteit, toegang tot bestanden, wijzigingen in toegangsrechten voor bestanden, pogingen om nieuwe programma's te installeren en/of pogingen om toegang te krijgen tot bevoorrechte services. Een IDS op systeemniveau kan bijvoorbeeld alle aan- en afmeldingsactiviteiten van een gebruiker bewaken, evenals acties die door elke gebruiker worden uitgevoerd wanneer deze is aangesloten op het netwerk. Het is erg moeilijk voor een netwerklaagsysteem om dit niveau van granulariteit van gebeurtenissen te bieden. Inbraakdetectietechnologie op systeemniveau kan ook activiteiten bewaken die normaal alleen door een beheerder zouden worden uitgevoerd. Besturingssystemen registreren elke gebeurtenis die gebruikersaccounts toevoegt, verwijdert of wijzigt. IDS'en op systeemniveau kunnen een overeenkomstige wijziging detecteren zodra deze zich voordoet. IDS'en op systeemniveau kunnen ook wijzigingen in het beveiligingsbeleid controleren die van invloed zijn op hoe systemen hun logboeken bijhouden, enz.

Uiteindelijk kunnen inbraakdetectiesystemen op systeemniveau wijzigingen in belangrijke systeembestanden of uitvoerbare bestanden bewaken. Pogingen om dergelijke bestanden te overschrijven of Trojaanse paarden te installeren, kunnen worden gedetecteerd en onderdrukt. Netwerklaagsystemen zien dit soort activiteiten soms over het hoofd.

3. Detecteer aanvallen die worden gemist door netwerklaagsystemen. IDS'en op systeemniveau kunnen aanvallen detecteren die niet kunnen worden gedetecteerd door tools op netwerkniveau. Aanvallen die vanaf de aangevallen server zelf worden gelanceerd, kunnen bijvoorbeeld niet worden gedetecteerd door detectiesystemen voor netwerklaagaanvallen.

4. Zeer geschikt voor versleutelde en geschakelde netwerken. Omdat de IDS op systeemniveau op verschillende hosts in een bedrijfsnetwerk is geïnstalleerd, kan het enkele van de problemen oplossen die zich voordoen bij het bedienen van systemen op netwerkniveau in versleutelde en geschakelde netwerken.

Door te switchen kunnen grootschalige netwerken worden beheerd als meerdere kleine netwerksegmenten. Als gevolg hiervan kan het moeilijk zijn om de beste plaats te bepalen om de netwerklaag-IDS te installeren. Soms kunnen beheerde poorten en spiegelpoorten, spanpoorten op switches helpen, maar deze methoden zijn niet altijd van toepassing. Aanvalsdetectie op systeemniveau zorgt voor een efficiëntere werking in geschakelde netwerken, omdat: stelt u in staat om IDS alleen op die knooppunten te plaatsen waar het nodig is.

Bepaalde soorten versleuteling vormen ook uitdagingen voor inbraakdetectiesystemen op de netwerklaag. Afhankelijk van waar de codering wordt uitgevoerd (kanaal of abonnee), kan de netwerklaag-IDS "blind" blijven voor bepaalde aanvallen. IDS op systeemniveau hebben deze beperking niet. Bovendien analyseert het besturingssysteem, en dus de IDS op systeemniveau, het ontsleutelde inkomende verkeer.

5. Bijna realtime detectie en respons. Hoewel aanvalsdetectie op systeemniveau geen echt realtime antwoord biedt, kan het, indien correct geïmplementeerd, in bijna realtime worden bereikt. In tegenstelling tot oudere systemen die de status en inhoud van de logboeken met vooraf bepaalde tussenpozen controleren, ontvangen veel moderne IDS'en op systeemniveau een OS-onderbreking wanneer een nieuwe logboekinvoer verschijnt. Dit nieuwe record kan onmiddellijk worden verwerkt, waardoor de tijd tussen het herkennen van een aanval en het reageren erop aanzienlijk wordt verkort. Er is een vertraging tussen het moment waarop het besturingssysteem een ​​gebeurtenis naar het logbestand schrijft en het moment waarop het wordt herkend door het inbraakdetectiesysteem, maar in veel gevallen kan een aanvaller worden gedetecteerd en gestopt voordat hij schade aanricht.

6. Geen extra hardware nodig. Inbraakdetectiesystemen op systeemniveau worden geïnstalleerd op de bestaande netwerkinfrastructuur, inclusief bestandsservers, webservers en andere in gebruik zijnde bronnen. Deze mogelijkheid kan IDS's op systeemniveau zeer kosteneffectief maken, omdat er geen ander knooppunt op het netwerk nodig is om te worden bewaakt, onderhouden en beheerd.

7. Lage prijs. Hoewel inbraakdetectiesystemen in de netwerklaag verkeersanalyse van het hele netwerk bieden, zijn ze vaak vrij duur. De kosten van één inbraakdetectiesysteem kunnen meer dan $ 10.000 bedragen. Aan de andere kant kosten inbraakdetectiesystemen op systeemniveau honderden dollars per agent en kunnen ze door de klant worden gekocht als het nodig is om slechts een paar knooppunten van de onderneming te controleren, zonder netwerkaanvallen te beheersen.

1.5. De behoefte aan aanvalsdetectiesystemen op zowel netwerk- als systeemniveau

Beide oplossingen: IDS en netwerk- en systeemniveaus hebben hun eigen voordelen en voordelen die elkaar effectief aanvullen. De volgende generatie IDS moet daarom geïntegreerde systeem- en netwerkcomponenten bevatten. De combinatie van deze twee technologieën zal de weerstand van het netwerk tegen aanvallen en misbruik aanzienlijk verbeteren, het beveiligingsbeleid aanscherpen en een grotere flexibiliteit introduceren bij de exploitatie van netwerkbronnen.

De onderstaande afbeelding illustreert hoe technieken voor inbraakdetectie op systeem- en netwerkniveau samenwerken om een ​​effectievere firewall te creëren. Sommige gebeurtenissen worden alleen gedetecteerd door netwerksystemen. Anderen - alleen met behulp van het systeem. Sommige vereisen dat beide typen aanvalsdetectie worden gebruikt voor betrouwbare detectie.

Figuur 1. V interoperabiliteit van aanvalsdetectiemethoden op systeem- en netwerkniveau

1.6. Lijst met vereisten voor inbraakdetectiesystemen
volgende generatie

Functies voor inbraakdetectiesystemen van de volgende generatie:

1. Mogelijkheden om aanvallen op systeem- en netwerkniveau te detecteren, geïntegreerd in één systeem.

2. Gedeelde beheerconsole met een consistente interface voor productconfiguratie, beheerbeleid en weergave van individuele gebeurtenissen van zowel systeem- als netwerkcomponenten van het inbraakdetectiesysteem.

3. Geïntegreerde database met evenementen.

4. Geïntegreerd rapportagesysteem.

5. Mogelijkheden om gebeurtenissen te correleren.

6. Geïntegreerde online hulp voor incidentrespons.

7. Uniforme en consistente installatieprocedures.

8. De mogelijkheid toevoegen om uw eigen evenementen te beheren.

In het vierde kwartaal van 1998 kwam RealSecureT versie 3.0 uit, die aan al deze eisen voldoet.

· RealSecure Tracking Module - detecteert netwerklaagaanvallen op Ethernet-, Fast Ethernet-, FDDI- en Token Ring-netwerken.

· RealSecure Agent - detecteert aanvallen op servers en andere systeemapparaten.

· RealSecure Manager — Een beheerconsole die configuratie biedt voor RealSecure-trackers en agenten en realtime analyse van netwerkverkeer en systeemlogboeken integreert.

2. De hele wereld zit vol met aanvallen

Er zijn twee strategieën die kunnen worden gebruikt om te verdedigen tegen verschillende soorten aanvallen. De eerste is het verwerven van de meest aangeprezen (maar niet altijd de beste) verdedigingssystemen tegen allerlei soorten aanvallen. Deze methode is heel eenvoudig, maar vereist een enorme investering. Geen enkele thuisgebruiker of zelfs het hoofd van een organisatie zal dit doen. Daarom wordt meestal de tweede strategie gebruikt, die bestaat uit een voorlopige analyse van waarschijnlijke dreigingen en de daaropvolgende selectie van middelen om zich daartegen te beschermen.

Dreigingsanalyse, of risicoanalyse, kan ook op twee manieren. Een complexe, maar effectievere manier is dat alvorens de meest waarschijnlijke dreigingen worden gekozen, een analyse wordt uitgevoerd van het informatiesysteem, de daarin verwerkte informatie, de gebruikte software en hardware, etc. Dit zal het bereik van potentiële aanvallen aanzienlijk verkleinen en daardoor de efficiëntie verhogen van het investeren van geld in de gekochte beveiligingstools. Een dergelijke analyse vereist echter tijd, geld en, belangrijker nog, hooggekwalificeerde specialisten die een inventarisatie van het geanalyseerde netwerk uitvoeren. Er zijn maar weinig bedrijven, laat staan ​​thuisgebruikers, die het zich kunnen veroorloven deze weg in te slaan. Wat te doen? U kunt de keuze van beveiligingstools maken op basis van de zogenaamde standaardbedreigingen, dat wil zeggen de meest voorkomende. Ondanks het feit dat sommige inherente bedreigingen voor het beschermde systeem genegeerd kunnen worden, zullen de meeste toch binnen het geschetste kader vallen. Wat zijn de meest voorkomende soorten bedreigingen en aanvallen? Dit artikel is gewijd aan het antwoord op deze vraag. Om de gepresenteerde gegevens nauwkeuriger te maken, zal ik statistieken gebruiken die uit verschillende bronnen zijn verkregen.

Cijfers, cijfers, cijfers...

Wie pleegt het vaakst computercriminaliteit en voert verschillende aanvallen uit? Wat zijn de meest voorkomende bedreigingen? Ik zal de gegevens citeren die zijn verkregen door de meest gezaghebbende bron op dit gebied - het Computer Security Institute (CSI) en de groep computeraanvallen van de FBI-afdeling in San Francisco. Deze gegevens werden in maart 2000 gepubliceerd in de 2000 CSI / FBI Computer Crime and Security Survey. Volgens deze gegevens:

· 90% van de respondenten (grote bedrijven en overheidsorganisaties) registreerde verschillende aanvallen op hun informatiebronnen;

· 70% van de respondenten meldde ernstige schendingen van het beveiligingsbeleid, zoals virussen, denial-of-service-aanvallen, misbruik door werknemers, enz.;

· 74% van de respondenten heeft als gevolg van deze overtredingen aanzienlijke financiële verliezen geleden.

Ook de verliezen als gevolg van schendingen van het veiligheidsbeleid zijn de afgelopen jaren toegenomen. Als in 1997 het bedrag aan verliezen gelijk was aan $ 100 miljoen, in 1999 - 124 miljoen, dan steeg dit cijfer in 2000 tot $ 266 miljoen. Het bedrag aan verliezen door denial of service-aanvallen bereikte 8,2 miljoen dollar. Andere interessante gegevens zijn onder meer de bronnen van aanvallen, de soorten veelvoorkomende aanvallen en de omvang van hun verliezen.

Een andere gerenommeerde bron, het CERT Coördinatiecentrum, bevestigt deze gegevens ook. Bovendien valt volgens de gegevens die hij verzamelde de toename van beveiligingsincidenten samen met de opkomst van internet.

De interesse in e-commerce zal deze groei de komende jaren stimuleren. Er is ook een andere trend opgemerkt. In de jaren tachtig en het begin van de jaren negentig vielen externe aanvallers internetsites aan uit nieuwsgierigheid of om hun vaardigheden te demonstreren. Tegenwoordig streven aanvallen meestal financiële of politieke doelen na. Volgens veel analisten is het aantal succesvolle penetraties in informatiesystemen alleen al in 1999 verdubbeld ten opzichte van het voorgaande jaar (van 12% naar 23%). Zowel in 2000 als in 2001 zet deze trend zich voort.

Er zijn ook Russische statistieken op dit gebied. En hoewel het onvolledig is en, naar de mening van veel experts, slechts het topje van de ijsberg vertegenwoordigt, zal ik toch deze cijfers geven. In 2000 werden volgens het ministerie van Binnenlandse Zaken 1375 computercriminaliteit geregistreerd. In vergelijking met 1999 is dit cijfer meer dan 1,6 keer zo groot geworden. Uit de gegevens van de afdeling voor de bestrijding van misdrijven op het gebied van geavanceerde technologieën van het ministerie van Binnenlandse Zaken van de Russische Federatie (afdeling "R") blijkt dat de meeste misdaden - 584 van het totaal - verband houden met illegale toegang tot computerinformatie ; 258 gevallen betreft materiële schade met behulp van computerhulpmiddelen; 172 misdaden worden in verband gebracht met het creëren en verspreiden van verschillende virussen, of liever, "kwaadaardige programma's voor computers"; 101 misdrijven - uit de serie "illegale productie of verwerving met het oog op de verkoop van technische middelen voor het illegaal verkrijgen van informatie", 210 - fraude met het gebruik van computer- en telecommunicatienetwerken; 44 - schending van de regels voor de werking van computers en hun netwerken.

3. Hoe kunt u uzelf beschermen tegen aanvallen vanop afstand op internet?

Het bijzondere van het internet van tegenwoordig is dat 99% van de informatiebronnen van het netwerk openbaar beschikbaar zijn. Toegang op afstand tot deze bronnen kan anoniem worden uitgevoerd door elke onbevoegde gebruiker van het netwerk. Een voorbeeld van dergelijke ongeautoriseerde toegang tot openbare bronnen is verbinding maken met WWW- of FTP-servers, als dergelijke toegang is toegestaan.

Nadat is bepaald tot welke bronnen van internet de gebruiker toegang wil hebben, moet de volgende vraag worden beantwoord: gaat de gebruiker externe toegang van het netwerk tot zijn bronnen toestaan? Zo niet, dan is het logisch om een ​​"puur client"-besturingssysteem te gebruiken als netwerkbesturingssysteem (bijvoorbeeld Windows "95 of NT Workstation), dat geen serverprogramma's bevat die externe toegang bieden, en dus externe toegang tot dit besturingssysteem. systeem. eigenlijk onmogelijk, omdat het simpelweg niet wordt geleverd door software (bijvoorbeeld Windows "95 of NT, hoewel met één maar: er zijn echt geen FTP-, TELNET-, WWW-, enz.-servers voor deze systemen, maar we moeten de ingebouwde in de mogelijkheid om op afstand toegang te verlenen tot het bestandssysteem, de zogenaamde delen bronnen. En als je je tenminste de vreemde positie van Microsoft herinnert met betrekking tot het waarborgen van de beveiliging van zijn systemen, moet je serieus nadenken voordat je een beslissing neemt over de producten van dit bedrijf. Het laatste voorbeeld: er is een programma op internet verschenen dat een aanvaller op afstand toegang geeft tot het bestandssysteem van Windows NT 4.0!). De keuze voor een clientbesturingssysteem lost grotendeels het beveiligingsprobleem voor een bepaalde gebruiker op (u hebt geen toegang tot een bron die gewoon niet bestaat!). In dit geval gaat de functionaliteit van het systeem echter achteruit. Hier is het tijd om, naar onze mening, het basisaxioma van veiligheid te formuleren:

Veiligheidsaxioma. De principes van toegankelijkheid, gemak, prestaties en functionaliteit van een computersysteem staan ​​haaks op de principes van de beveiliging ervan.

Dit axioma ligt in principe voor de hand: hoe toegankelijker, handiger, sneller en multifunctioneler vliegtuigen, hoe minder veilig het is. Er zijn veel voorbeelden. Bijvoorbeeld DNS-service: handig maar gevaarlijk.

Laten we teruggaan naar de keuze van de gebruiker voor het besturingssysteem van het clientnetwerk. Dit is overigens een van de zeer verstandige stappen die leiden tot een netwerkbeleid van isolationisme. Dit netwerkbeveiligingsbeleid is bedoeld om uw computersysteem zo volledig mogelijk van de buitenwereld te isoleren. Een van de stappen om dit beleid af te dwingen is bijvoorbeeld het gebruik van Firewall-systemen, waarmee u een speciaal beveiligd segment kunt maken (bijvoorbeeld een particulier netwerk), gescheiden van het wereldwijde netwerk. Natuurlijk weerhoudt niets je ervan om dit beleid van netwerk isolationisme tot op het punt van absurditeit te brengen - gewoon de netwerkkabel uittrekken (volledige isolatie van de buitenwereld!). Vergeet niet dat dit ook een "oplossing" is voor alle problemen met aanvallen op afstand en netwerkbeveiliging (door het volledig ontbreken hiervan).

Laat de internetgebruiker dus beslissen om alleen het netwerkbesturingssysteem van de client te gebruiken om toegang te krijgen tot het netwerk en het alleen te gebruiken voor ongeautoriseerde toegang. Zijn beveiligingsproblemen opgelost? Helemaal niet! Alles zou goed zijn als het niet zo slecht was. Voor een Denial of Service-aanval is het absoluut niet relevant, noch het type toegang dat door de gebruiker wordt gebruikt, noch het type netwerk-besturingssysteem (hoewel het client-besturingssysteem enigszins de voorkeur verdient vanuit het oogpunt van bescherming tegen aanvallen). Deze aanval, waarbij gebruik wordt gemaakt van fundamentele beveiligingslacunes in de protocollen en infrastructuur van internet, valt het netwerkbesturingssysteem op de host van een gebruiker aan met als enig doel de functionaliteit ervan te verstoren. Windows 95 of Windows NT is het meest lucratieve doelwit voor een nep-ICMP denial-of-service-aanval, een aanvaller die zijn prestaties kan verstoren, tenzij hij een trucje wil uithalen.

3.1. Administratieve beschermingsmethoden tegen aanvallen op internet op afstand

De meest juiste stap in deze richting zou zijn om een ​​uit te nodigen die samen met u het hele scala aan taken zal proberen op te lossen om het vereiste vereiste beveiligingsniveau voor uw gedistribueerde vliegtuig te garanderen. Dit is een vrij moeilijke complexe taak, voor de oplossing waarvan moet worden bepaald wat (de lijst van gecontroleerde objecten en middelen van het DCS), van wat (analyse van mogelijke bedreigingen voor dit DCS) en hoe (ontwikkeling van eisen, vaststelling van een beveiligingsbeleid en het ontwikkelen van administratieve en hardware-software maatregelen om in de praktijk het ontwikkelde beveiligingsbeleid te beschermen.

Misschien wel de eenvoudigste en goedkoopste zijn de administratieve methoden van bescherming tegen informatievernietigende invloeden.

3.1.1. Hoe kan ik mezelf beschermen tegen analyse van netwerkverkeer?

Er is een aanval waarbij een cracker alle informatie kan onderscheppen die wordt uitgewisseld tussen externe gebruikers met behulp van software die luistert op een berichttransmissiekanaal op het netwerk, als alleen niet-versleutelde berichten via het kanaal worden verzonden. Er kan ook worden aangetoond dat de basistoepassingsprotocollen van TELNET en FTP voor toegang op afstand niet voorzien in elementaire codering van zelfs identifiers (namen) en authenticators (wachtwoorden) van gebruikers die via het netwerk worden verzonden. Daarom kunnen netwerkbeheerders uiteraard worden geadviseerd om deze onderliggende protocollen niet te gebruiken om op afstand te voorzien geautoriseerd toegang krijgen tot de bronnen van hun systemen en de analyse van netwerkverkeer beschouwen als die constant aanwezige bedreiging die niet kan worden geëlimineerd, maar je kunt de implementatie ervan in wezen zinloos maken door sterke crypto-algoritmen te gebruiken om de IP-stroom te beschermen.

3.1.2. Hoe kan ik mij beschermen tegen een valse ARP-server?

In het geval dat het netwerkbesturingssysteem geen informatie heeft over de correspondentie van IP- en Ethernet-adressen van hosts binnen één segment van het IP-netwerk, kunt u met dit protocol een broadcast-ARP-verzoek verzenden om het benodigde Ethernet-adres te vinden, waarnaar een aanvaller kan een valse reactie sturen, en in de toekomst zal al het verkeer op linkniveau door de aanvaller worden onderschept en via de valse ARP-server gaan. Het is duidelijk dat om deze aanval te elimineren, het noodzakelijk is om de reden te elimineren waarom het mogelijk is om het uit te voeren. De belangrijkste reden voor het succes van deze aanval op afstand is het ontbreken van de benodigde informatie van het besturingssysteem van elke host over de corresponderende IP- en Ethernet-adressen van alle andere hosts binnen dit netwerksegment. De eenvoudigste oplossing zou dus zijn dat de netwerkbeheerder een statische ARP-tabel in de vorm van een bestand maakt (meestal / etc / ethers op UNIX), waar de juiste adresinformatie moet worden ingevoerd. Dit bestand wordt op elke host binnen het segment geïnstalleerd en daarom hoeft het netwerk-besturingssysteem geen externe ARP-lookup te gebruiken.

3.1.3. Hoe te beschermen tegen een vervalste DNS-server?

Door DNS in zijn huidige vorm op internet te gebruiken, zou een cracker wereldwijde controle over verbindingen kunnen krijgen door een lokroute door de lokmiddel-DNS-server van de kraker te forceren. Op basis van mogelijke DNS-kwetsbaarheden zou deze aanval op afstand desastreuze gevolgen kunnen hebben voor een groot aantal internetgebruikers en zou kunnen leiden tot een massale inbreuk op de cyberbeveiliging van dit wereldwijde netwerk. De volgende twee paragrafen suggereren mogelijke administratieve methoden om deze externe aanval te voorkomen of te belemmeren voor netwerkbeheerders en gebruikers en voor DNS-serverbeheerders.

a) Hoe kan een netwerkbeheerder zichzelf beschermen tegen een valse DNS-server?

Als het antwoord op deze vraag kort is, dan zeker niet. Er is geen administratieve of programmatische verdediging tegen een aanval op een bestaande versie van de DNS-service. De beste beveiligingsoplossing zou zijn om helemaal te stoppen met het gebruik van de DNS-service in uw beveiligde segment! Het zal natuurlijk niet erg handig zijn voor gebruikers om het gebruik van namen bij het verwijzen naar hosts volledig te verlaten. Daarom kunnen we de volgende afwegingsoplossing bieden: gebruik namen, maar verlaat het externe DNS-opzoekmechanisme. Je raadt het goed, dit is een terugval op de pre-DNS met dedicated DNS-servers. Toen was er op elke machine op het netwerk gastheren een bestand met informatie over de bijbehorende namen en IP-adressen van alle hosts op het netwerk. Het is duidelijk dat vandaag de dag de beheerder in een dergelijk bestand informatie kan invoeren over alleen de meest bezochte netwerkservers door gebruikers van dit segment. Daarom is het gebruik van deze oplossing in de praktijk uiterst moeilijk en blijkbaar onrealistisch (wat te doen met bijvoorbeeld browsers die URL's met namen gebruiken?).

Om de implementatie van deze aanval op afstand te compliceren, kun je voorstellen dat beheerders TCP gebruiken voor de DNS-service in plaats van UDP, dat standaard is geïnstalleerd (hoewel het verre van duidelijk is uit de documentatie hoe dit te veranderen). Dit maakt het voor een aanvaller veel moeilijker om een ​​nep DNS-antwoord naar de host te sturen zonder het DNS-verzoek te accepteren.

De algemene teleurstellende conclusie is deze: op internet, bij gebruik het bestaan DNS-serviceversies bestaat niet een acceptabele oplossing om te beschermen tegen een valse DNS-server (en je zult niet weigeren, zoals het geval is bij ARP, en het is gevaarlijk om te gebruiken)!

b) Hoe kan een DNS-serverbeheerder zich beschermen tegen een vervalste DNS-server?

Als het antwoord op deze vraag kort is, nogmaals, op geen enkele manier. De enige manier om deze aanval op afstand moeilijker te maken, is door alleen TCP te gebruiken, niet UDP, om te communiceren met hosts en andere DNS-servers. Dit zal de aanval echter alleen maar moeilijker maken - vergeet zowel de mogelijke onderschepping van het DNS-verzoek als de mogelijkheid van wiskundige voorspelling van de initiële waarde van de TCP ISN-identificatie niet.

Kortom, we kunnen het hele internet aanbevelen om snel over te stappen op een nieuwe, veiligere versie van de DNS-service, of om een ​​enkele standaard voor een veilig protocol in te voeren. Het is absoluut noodzakelijk om deze overstap te maken, ondanks alle enorme kosten, anders kan het internet eenvoudig op de knieën worden gebracht voor de steeds groter wordende succesvolle pogingen om de beveiliging met deze service te doorbreken!

3.1.4. Hoe te beschermen tegen spoofingroute bij gebruik van ICMP?

De aanval, die bestond uit het sturen van een vals ICMP Redirect-bericht naar de host over het wijzigen van de oorspronkelijke route, leidde zowel tot onderschepping van informatie door de aanvallers als tot een storing van de aangevallen host. Om je te verdedigen tegen deze aanval op afstand, is het nodig om dit bericht te filteren (met behulp van een firewall of een filterrouter), om te voorkomen dat het het eindsysteem bereikt, of om het netwerk-besturingssysteem te selecteren dat dit bericht negeert. Er is echter meestal geen administratieve manier om het netwerkbesturingssysteem te beïnvloeden om te voorkomen dat het de route wijzigt en op dit bericht reageert. De enige manier, bijvoorbeeld in het geval van Linux of FreeBSD OS, is om de bronnen te wijzigen en de OS-kernel opnieuw te compileren. Het is duidelijk dat zo'n exotische manier voor velen alleen mogelijk is voor besturingssystemen die vrij worden verspreid samen met de broncode. Meestal is er in de praktijk geen andere manier om erachter te komen hoe uw besturingssysteem reageert op een ICMP Redirect-bericht, hoe u dit bericht kunt verzenden en wat het resultaat zal zijn. Experimenten hebben aangetoond dat u met dit bericht de routering kunt wijzigen op Linux 1.2.8, Windows "95 en Windows NT 4.0. Opgemerkt moet worden dat Microsoft-producten niet bijzonder beschermd zijn tegen mogelijke aanvallen op afstand die inherent zijn aan IP-netwerken. Gebruik daarom deze besturingssystemen in het beveiligde segment van het IP-netwerk lijkt onwenselijk, en dit zal de administratieve beslissing zijn om het segment van het netwerk te beschermen tegen deze aanval op afstand.

3.1.5. Hoe beschermen tegen denial of service?

Er is geen en kan geen acceptabele manier zijn om te beschermen tegen denial of service in de bestaande IPv4-standaard van internet. Dit komt doordat het in deze standaard onmogelijk is om de route van berichten te controleren. Daarom is het onmogelijk om betrouwbare controle over netwerkverbindingen te garanderen, aangezien een subject van netwerkinteractie de mogelijkheid heeft om een ​​onbeperkt aantal communicatiekanalen te bezetten met een object op afstand en tegelijkertijd anoniem te blijven. Hierdoor kan elke server op internet volledig worden verlamd met een aanval op afstand.

Het enige dat kan worden voorgesteld om de betrouwbaarheid van het aan deze aanval onderworpen systeem te verbeteren, is door zo krachtig mogelijke computers te gebruiken. Hoe hoger het aantal en de frequentie van de processors, hoe groter de hoeveelheid RAM, hoe betrouwbaarder het netwerkbesturingssysteem zal zijn wanneer het wordt getroffen door een gerichte "storm" van valse verbindingsverzoeken. Bovendien moet u besturingssystemen gebruiken die geschikt zijn voor uw verwerkingskracht, met een interne wachtrij die een groot aantal verbindingsverzoeken kan verwerken. Immers, uit het feit dat u bijvoorbeeld op een supercomputer het besturingssysteem Linux of Windows NT plaatst, waarvan de wachtrijlengte voor gelijktijdig verwerkte verzoeken ongeveer 10 is, en de time-out voor het wissen van de wachtrij enkele minuten is, dan, ondanks alle Door de rekenkracht van de computer wordt het besturingssysteem volledig lamgelegd door de aanvaller.

3.1.6. Hoe te beschermen tegen spoofing van een van de partijen bij interactie met behulp van de basisprotocollen van de TCP / IP-familie

Zoals eerder opgemerkt, de enige basis het protocol van de TCP / IP-familie, dat in eerste instantie zorgt voor de beveiliging van de verbinding en zijn abonnees, is het transportlaagprotocol - het TCP-protocol. Wat betreft de basisprotocollen op applicatieniveau: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, geen van deze biedt extra bescherming voor de verbinding op zijn eigen niveau en laat de oplossing van alle problemen met het beveiligen van de verbinding over aan het protocol van een lagere transportlaag - TCP. Echter, herinnerend aan de mogelijke aanvallen op de TCP-verbinding, besproken in Paragraaf 4.5, waar werd opgemerkt dat wanneer een aanvaller zich in hetzelfde segment bevindt met het oog op een aanval, het in principe onmogelijk is zich te verdedigen tegen spoofing van een van de TCP-verbindingen abonnees, segmenten, vanwege de mogelijkheid van wiskundige voorspelling van de identificatie van de TCP-verbinding ISN, is het ook mogelijk om een ​​van de abonnees te vervangen, het is gemakkelijk te concluderen dat bij gebruik van de basisprotocollen van de TCP / IP-familie, het is bijna onmogelijk om de veiligheid van de verbinding te garanderen! Dit komt door het feit dat helaas alle basisprotocollen van internet vanuit het oogpunt van informatiebeveiliging ongelooflijk verouderd zijn.

Het enige dat kan worden aanbevolen voor netwerkbeheerders om te beschermen alleen van cross-segment aanvallen op verbindingen - gebruik het TCP-protocol en netwerkbesturingssystemen als het "veilige" basisprotocol, waarbij de initiële waarde van de TCP-verbindingsidentificatie inderdaad willekeurig wordt gegenereerd (een goed pseudo-willekeurig generatie-algoritme wordt gebruikt in de laatste versies van FreeBSD OS).

3.2. Hardware- en softwaremethoden voor bescherming tegen aanvallen op internet op afstand

De software en hardware voor het waarborgen van informatiebeveiliging van communicatiefaciliteiten in computernetwerken omvatten:

• hardware-encryptors van netwerkverkeer;
• Firewall techniek, geïmplementeerd op basis van software en hardware;
• veilige netwerkcryptoprotocollen;
• hardware en software netwerkverkeersanalysatoren;
• veilige netwerkbesturingssystemen.

Er is een enorme hoeveelheid literatuur gewijd aan deze beveiligingshulpmiddelen die zijn ontworpen voor gebruik op internet (in de afgelopen twee jaar zijn er artikelen over dit onderwerp gevonden in bijna elke uitgave van elk computertijdschrift).

Verder beschrijven we, zo kort mogelijk, om bekende informatie niet voor iedereen te herhalen, deze beveiligingsmaatregelen die op internet worden gebruikt. Tegelijkertijd streven we de volgende doelen na: laten we eerst nog eens terugkeren naar de mythe van "absolute bescherming" die Firewall-systemen zouden bieden, blijkbaar dankzij de inspanningen van hun leveranciers; ten tweede zullen we de bestaande versies van de crypto-protocollen die op internet worden gebruikt vergelijken en een schatting geven, in feite, kritisch de situatie op dit gebied; en ten derde zullen we lezers vertrouwd maken met de mogelijkheid van bescherming met behulp van een netwerkbeveiligingsmonitor die is ontworpen om dynamisch situaties te bewaken die zich voordoen in een beschermd segment van een IP-netwerk, wat aangeeft dat een van de in hoofdstuk 4 beschreven aanvallen op afstand is uitgevoerd op dit segment.

3.2.1. Firewall-techniek als de belangrijkste hardware- en softwaretool voor het implementeren van netwerkbeveiligingsbeleid in een specifiek segment van een IP-netwerk

Over het algemeen implementeert de Firewall-techniek de volgende drie hoofdfuncties:

1. Filtering op meerdere niveaus van netwerkverkeer.

Filteren gebeurt meestal op drie OSI-lagen:

netwerk (IP);

vervoer (TCP, UDP);

toegepast (FTP, TELNET, HTTP, SMTP, enz.).

Het filteren van netwerkverkeer is de belangrijkste functie van Firewall-systemen en stelt de netwerkbeveiligingsbeheerder in staat om centraal het noodzakelijke netwerkbeveiligingsbeleid te implementeren op een specifiek segment van het IP-netwerk, dat wil zeggen, door de Firewall dienovereenkomstig te configureren, kunt u gebruikers toegang verlenen of weigeren vanaf het externe netwerk naar de corresponderende hostservices of naar hosts die zich in het beschermde segment bevinden, en toegang van gebruikers van het interne netwerk tot de corresponderende bronnen van het externe netwerk. Het is mogelijk om een ​​analogie te trekken met de lokale beheerder van het besturingssysteem, die, om het beveiligingsbeleid in het systeem te implementeren, de nodige relaties toewijst tussen de onderwerpen (gebruikers) en de systeemobjecten (bijvoorbeeld bestanden), waardoor het mogelijk om de toegang van de systeemsubjecten tot zijn objecten te beperken in overeenstemming met de toegangsrechten die zijn opgegeven door de beheerder. ... Dezelfde redenering is van toepassing op Firewall-filtering: IP-adressen van gebruikershosts zullen fungeren als onderwerpen van interactie, en IP-adressen van hosts, gebruikte transportprotocollen en externe toegangsservices zullen worden gebruikt als objecten waartoe de toegang moet worden beperkt.

2. Proxy-schema met aanvullende identificatie en authenticatie van gebruikers op de Firewall-host.

Het proxy-schema maakt het ten eerste mogelijk om bij toegang tot een beveiligd firewall-netwerksegment aanvullende identificatie en authenticatie van een externe gebruiker uit te voeren en ten tweede vormt het de basis voor het creëren van privé-netwerken met virtuele IP-adressen. De betekenis van het proxy-schema is om een ​​verbinding tot stand te brengen met de uiteindelijke ontvanger via een tussenliggende proxyserver (proxy van Engels gezaghebbend) op de Firewall-host. Op deze proxyserver kan een aanvullende identificatie van de abonnee worden uitgevoerd.

3. Creatie van privénetwerken (Private Virtual Network - PVN) met "virtuele" IP-adressen (NAT - Network Address Translation).

In het geval dat de netwerkbeveiligingsbeheerder het gepast acht om de echte topologie van zijn interne IP-netwerk te verbergen, kan hem worden geadviseerd om Firewall-systemen te gebruiken om een ​​particulier netwerk (PVN-netwerk) te creëren. Hosts in de PVN krijgen "virtuele" IP-adressen toegewezen. Voor adressering naar het externe netwerk (via de Firewall) is het noodzakelijk om ofwel de hierboven beschreven proxyservers op de Firewall-host te gebruiken, ofwel speciale routeringssystemen (routing) te gebruiken, alleen via welke externe adressering mogelijk is. Dit komt doordat het virtuele IP-adres dat in het interne PVN-netwerk wordt gebruikt duidelijk niet geschikt is voor externe adressering (externe adressering is adressering aan abonnees buiten het PVN-netwerk). Daarom moet een proxyserver of routeringstool vanaf zijn echte IP-adres communiceren met abonnees van het externe netwerk. Overigens is dit schema handig als je een onvoldoende aantal IP-adressen hebt gekregen om een ​​IP-netwerk te creëren (in de IPv4-standaard gebeurt dit de hele tijd, dus om een ​​volwaardig IP-netwerk te creëren met behulp van een proxy-schema, slechts één speciaal IP-adres is voldoende (adressen voor de proxyserver).

Dus elk apparaat dat ten minste één van deze functies van de Firewall-techniek implementeert, is een Firewall-apparaat. Niets verhindert u bijvoorbeeld om een ​​computer met een normaal FreeBSD- of Linux-besturingssysteem als Firewall-host te gebruiken, waarvoor u de OS-kernel dienovereenkomstig moet compileren. Dit type firewall biedt alleen filtering op meerdere niveaus van IP-verkeer. Een ander punt is dat de krachtige Firewall-complexen die op de markt worden aangeboden, gemaakt op basis van een computer of minicomputer, meestal alle functies van de Firewall-methode implementeren en volledig uitgeruste Firewall-systemen zijn. De volgende afbeelding toont een netwerksegment dat van het externe netwerk is gescheiden door een volledig functionele Firewall-host.

Rijst. 2. Algemeen diagram van een volledig functionele Firewall-host.

Beheerders van IP-netwerken, die bezwijken voor reclame voor Firewall-systemen, mogen zich echter niet vergissen in het feit dat Firewall een garantie is voor absolute bescherming tegen aanvallen op afstand op internet. Firewall is niet zozeer een beveiligingshulpmiddel als wel de mogelijkheid om centraal een netwerkbeleid te implementeren voor het afbakenen van externe toegang tot beschikbare bronnen op uw netwerk. Ja, als bijvoorbeeld externe TELNET-toegang wordt geweigerd aan een bepaalde host, zal de firewall deze toegang zeker voorkomen. Maar het feit is dat de meeste aanvallen op afstand totaal verschillende doelen hebben (het heeft geen zin om te proberen een bepaald type toegang te krijgen als dit door de firewall wordt verboden). Welke van de overwogen aanvallen op afstand kan Firewall voorkomen? Netwerkverkeer analyseren? Duidelijk niet! Valse ARP-server? Ja en nee (u hoeft geen firewall te gebruiken voor bescherming). Valse DNS-server? Nee, helaas is Firewall hier niet uw assistent. Een route spoofen met ICMP? Ja, deze aanval door het filteren van ICMP-berichten wordt gemakkelijk afgeweerd door de Firewall (hoewel een filterende router zoals Cisco voldoende zal zijn). Spoofing van een van de onderwerpen van een TCP-verbinding? Het antwoord is negatief; Firewall heeft er absoluut niets mee te maken. Host defect door het creëren van een directionele nepverzoekstorm of overloop van de verzoekwachtrij? In dit geval zal het gebruik van Firewall de zaken alleen maar erger maken. Een aanvaller om alle hosts binnen een segment dat wordt beschermd door een firewallsysteem uit te schakelen (afgesneden van de buitenwereld), is voldoende om slechts één firewall aan te vallen en niet meerdere hosts (dit is gemakkelijk te verklaren door het feit dat communicatie tussen interne hosts en de buitenwereld is alleen mogelijk via de Firewall).

in geen geval voldoende

Uit het bovenstaande volgt niet dat het gebruik van Firewall-systemen absoluut zinloos is. Nee, op dit moment is er geen alternatief voor deze techniek (precies als techniek!). Men moet echter het hoofddoel ervan duidelijk begrijpen en onthouden. Het lijkt ons dat het noodzakelijk is om de Firewall-techniek te gebruiken om netwerkbeveiliging te garanderen, maar in geen geval voldoende staat, en u hoeft er niet van uit te gaan dat u door het installeren van een firewall in één keer alle netwerkbeveiligingsproblemen oplost en alle mogelijke externe aanvallen van internet verlost. Het internet, rot vanuit het oogpunt van veiligheid, kan niet worden beschermd door een enkele firewall!

3.2.2. Softwarebeveiligingsmethoden die op internet worden gebruikt

De geprogrammeerde beveiligingsmethoden op internet omvatten in de eerste plaats veilige crypto-protocollen, waarmee het mogelijk wordt om de verbinding betrouwbaar te beschermen. In de volgende paragraaf zullen we het hebben over de benaderingen die tegenwoordig op internet bestaan ​​en de belangrijkste, reeds ontwikkelde, cryptoprotocollen.

Een andere klasse van softwaremethoden voor bescherming tegen aanvallen op afstand omvat momenteel bestaande programma's, waarvan het belangrijkste doel is om het netwerkverkeer te analyseren op de aanwezigheid van een van de bekende actieve aanvallen op afstand.

a) SKIP-technologie en crypto-protocollen SSL, S-HTTP als het belangrijkste middel om verbindingen en verzonden gegevens op internet te beschermen

Een van de belangrijkste redenen voor het succes van aanvallen op afstand op gedistribueerde vliegtuigen ligt in het gebruik van netwerkcommunicatieprotocollen die niet op betrouwbare wijze objecten op afstand kunnen identificeren, de verbinding en de gegevens die erover worden verzonden, kunnen beschermen. Daarom is het heel natuurlijk dat tijdens het functioneren van internet verschillende veilige netwerkprotocollen zijn gecreëerd met behulp van zowel private als public key cryptografie. Klassieke cryptografie met symmetrische crypto-algoritmen gaat ervan uit dat de verzendende en ontvangende zijde symmetrische (identieke) sleutels hebben voor het versleutelen en ontsleutelen van berichten. Deze sleutels worden verondersteld vooraf te worden verdeeld over een eindig aantal abonnees, wat in cryptografie het standaard statische sleuteldistributieprobleem wordt genoemd. Het is duidelijk dat het gebruik van klassieke symmetrische sleutelcryptografie alleen mogelijk is op een beperkt aantal objecten. Het is duidelijk dat het niet mogelijk is om het probleem van de distributie van statische sleutels op internet voor al zijn gebruikers op te lossen. Een van de eerste veilige uitwisselingsprotocollen op internet was echter het Kerberos-protocol, precies gebaseerd op de statische distributie van sleutels voor een eindig aantal abonnees. Onze speciale diensten, die hun eigen veilige crypto-protocollen voor internet ontwikkelen, worden gedwongen om dezelfde weg te gaan, met behulp van klassieke symmetrische cryptografie. Dit is te wijten aan het feit dat er om de een of andere reden nog steeds geen gehost crypto-algoritme met openbare sleutel is. Overal ter wereld zijn dergelijke encryptiestandaarden al lang geaccepteerd en gecertificeerd, en blijkbaar gaan we weer de andere kant op!

Het is dus duidelijk dat om het mogelijk te maken om de hele set internetgebruikers te beschermen, en niet een beperkte subset ervan, het noodzakelijk is om dynamisch gegenereerde sleutels te gebruiken tijdens het maken van een virtuele verbinding met behulp van cryptografie met openbare sleutels. Vervolgens zullen we kijken naar de belangrijkste benaderingen en protocollen van vandaag die verbindingsbeveiliging bieden.

OVERSLAAN(Secure Key Internet Protocol) -technologie is een standaard voor het inkapselen van IP-pakketten, waardoor de bestaande IPv4-standaard op netwerkniveau de bescherming van de verbinding en de gegevens die erover worden verzonden, kan garanderen. Dit wordt op de volgende manier bereikt: Een SKIP-pakket is een regulier IP-pakket, waarvan het dataveld een SKIP-header van een gespecificeerd formaat en een cryptogram (versleutelde data) is. Een dergelijke structuur van een SKIP-pakket maakt het mogelijk om het vrijelijk naar elke host op internet te sturen (internetadressering vindt plaats volgens de gebruikelijke IP-header in een SKIP-pakket). De uiteindelijke ontvanger van het SKIP-pakket decodeert het cryptogram volgens een algoritme dat vooraf is bepaald door de ontwikkelaars en vormt een normaal TCP- of UDP-pakket, dat wordt verzonden naar de overeenkomstige normale module (TCP of UDP) van de kernel van het besturingssysteem. In principe belet niets de ontwikkelaar om zijn eigen originele header te vormen volgens dit schema, dat verschilt van de SKIP-header.

S-HTTP(Secure HTTP) is een beveiligd HTTP-protocol dat speciaal voor het web is ontwikkeld door Enterprise Integration Technologies (EIT). Het S-HTTP-protocol biedt alleen sterke cryptografische bescherming voor webserver-HTTP-documenten en werkt op de applicatielaag van het OSI-model. Deze eigenschap van het S-HTTP-protocol maakt het een absoluut gespecialiseerd middel om een ​​verbinding te beveiligen, en als gevolg daarvan kan het niet worden gebruikt om alle andere toepassingsprotocollen (FTP, TELNET, SMTP, enz.) te beschermen. Bovendien ondersteunt geen van de huidige grote webbrowsers (noch Netscape Navigator 3.0, noch Microsoft Explorer 3.0) dit protocol.

SSL(Secure Socket Layer) - de ontwikkeling van Netscape - een universeel beveiligingsprotocol voor verbindingen dat werkt op de OSI-sessielaag. Dit protocol, dat cryptografie met openbare sleutels gebruikt, is naar onze mening vandaag het enige universele hulpmiddel waarmee u elke verbinding dynamisch kunt beveiligen met elk toepassingsprotocol (DNS, FTP, TELNET, SMTP, enz.). Dit komt door het feit dat SSL, in tegenstelling tot S-HTTP, op het intermediaire OSI-sessieniveau werkt (tussen transport - TCP, UDP - en applicatie - FTP, TELNET, enz.). In dit geval vindt het proces van het maken van een virtuele SSL-verbinding plaats volgens het Diffie and Hellman-schema (clausule 6.2), waarmee u een cryptografisch sterke sessiesleutel kunt genereren, die vervolgens door abonnees van de SSL-verbinding wordt gebruikt om verzonden berichten te coderen . SSL is nu praktisch ingeburgerd als de officiële beveiligingsstandaard voor HTTP-verbindingen, dat wil zeggen voor het beveiligen van webservers. Het wordt natuurlijk ondersteund door Netscape Navigator 3.0 en, vreemd genoeg, Microsoft Explorer 3.0 (onthoud die felle browseroorlog tussen Netscape en Microsoft). Om een ​​SSL-verbinding met een webserver tot stand te brengen, hebt u natuurlijk ook een webserver nodig die SSL ondersteunt. Dergelijke versies van webservers bestaan ​​al (bijvoorbeeld SSL-Apache). Ter afsluiting van het gesprek over het SSL-protocol kan men niet anders dan het volgende feit opmerken: tot voor kort was de export van cryptosystemen met een sleutellengte van meer dan 40 bits door de Amerikaanse wetgeving verboden (deze werd onlangs verhoogd tot 56 bits). Daarom worden in de bestaande versies van browsers precies 40-bits sleutels gebruikt. Crypto-analisten hebben door experimenten ontdekt dat in de bestaande versie van het SSL-protocol encryptie met een 40-bits sleutel geen betrouwbare bescherming is voor berichten die via het netwerk worden verzonden, omdat deze sleutel met eenvoudige brute-force (2 40 combinaties) wordt geselecteerd in een tijd van 1,5 (door supercomputer Silicon Graphics) tot 7 dagen (120 werkstations en verschillende minicomputers werden gebruikt in het rekenproces).

Het is dus duidelijk dat het wijdverbreide gebruik van deze veilige uitwisselingsprotocollen, met name SSL (uiteraard met een sleutellengte van meer dan 40 bits), een betrouwbare barrière zal vormen voor allerlei soorten aanvallen op afstand en ernstige het leven van crackers over de hele wereld. De hele tragedie van de huidige situatie met het waarborgen van veiligheid op internet is echter dat tot nu toe geen van de bestaande crypto-protocollen (en er zijn er al veel) vorm heeft gekregen als een enkele standaard voor het beschermen van een verbinding, wat zou zijn ondersteund door alle fabrikanten van netwerkbesturingssystemen! Het SSL-protocol dat vandaag beschikbaar is, is het meest geschikt voor deze rol. Als het door alle netwerkbesturingssystemen zou worden ondersteund, zou het niet nodig zijn om speciale SSL-compatibele applicaties te maken (DNS, FTP, TELNET, WWW, enz.). Als u het niet eens bent over de goedkeuring van één enkele standaard voor een beveiligd sessielaagprotocol, dan zal het de goedkeuring van vele normen vereisen voor de bescherming van elke afzonderlijke toepassingsservice. Zo is er al een experimenteel, niet ondersteund Secure DNS-protocol ontwikkeld. Er zijn ook experimentele SSL-compatibele Secure FTP- en TELNET-servers. Maar dit alles heeft geen enkele zin zonder de goedkeuring van één enkele standaard die door alle fabrikanten wordt ondersteund voor een veilig protocol. En vandaag de dag kunnen fabrikanten van netwerkbesturingssystemen het niet eens worden over een eensgezind standpunt over dit onderwerp en kunnen ze de oplossing van deze problemen dus rechtstreeks naar internetgebruikers verschuiven en aanbieden om ze op te lossen hun informatiebeveiligingsproblemen zoals u dat wilt!

b) Netwerkbeveiligingsmonitor IP-waarschuwing-1

Praktisch en theoretisch onderzoek van de auteurs, in de richting van de studie van de veiligheid van gedistribueerde vliegtuigen, inclusief het internetnetwerk (twee poolgebieden van onderzoek: schending en voorziening van informatiebeveiliging), suggereerde het volgende idee: in het internet, zoals in andere netwerken (bijv. Novell NetWare, Windows NT), is er een ernstig gebrek aan beveiligingssoftware die complex controle (monitoring) op verbindingsniveau voor de volledige informatiestroom die over het netwerk wordt verzonden om alle soorten invloeden op afstand te detecteren die in hoofdstuk 4 worden beschreven. Onderzoek naar de markt voor software voor internetnetwerkbeveiliging bracht aan het licht dat dergelijke complexe middelen voor het detecteren van aanvallen op afstand, voor zover wij weten, niet bestaan, en dat de middelen die er wel zijn, zijn ontworpen om aanvallen van een specifiek type te detecteren (bijvoorbeeld ICMP Redirect of ARP ). Daarom werd gestart met de ontwikkeling van een controletool voor een IP-netwerksegment, bedoeld voor gebruik op internet en kreeg de volgende naam: Network Security Monitor IP-waarschuwing-1... De belangrijkste taak van deze tool, die het netwerkverkeer in het transmissiekanaal programmatisch analyseert, is niet om aanvallen op afstand weer te geven die via het communicatiekanaal worden uitgevoerd, maar om ze te detecteren en te loggen (een auditbestand bijhouden met logging in een formulier dat handig is voor latere visuele analyse van alle gebeurtenissen met betrekking tot aanvallen op afstand op een bepaald netwerksegment) en het onmiddellijk waarschuwen van de beveiligingsbeheerder in het geval van een gedetecteerde aanval op afstand. De belangrijkste taak netwerkbeveiligingsmonitor IP-waarschuwing-1 is een implementatie controle voor de beveiliging van het overeenkomstige segment van internet.

Netwerkbeveiligingsmonitor IP-waarschuwing-1 beschikt over de volgende functionaliteiten en maakt het mogelijk om, door middel van netwerkanalyse, de volgende aanvallen op afstand op het segment van internet onder zijn controle te detecteren.

Functionaliteit van de IP Alert-1 Security Network Monitor

1. Controle over de overeenstemming van IP- en Ethernet-adressen in pakketten die worden verzonden door hosts die zich binnen het bewaakte netwerksegment bevinden.

Op de IP Alert-1-host maakt de beveiligingsbeheerder een statische ARP-tabel, waarin hij informatie invoert over de corresponderende IP- en Ethernet-adressen van hosts die zich binnen het bewaakte netwerksegment bevinden.

Met deze functie kunt u ongeoorloofde wijziging van het IP-adres of de vervanging ervan detecteren (IP-spoofing).

2. Controle over het juiste gebruik van het externe ARP-opzoekmechanisme.

Met deze functie kunt u een externe "Fake ARP Server"-aanval definiëren met behulp van een statische ARP-tabel.

3. Controle over het juiste gebruik van het externe DNS-opzoekmechanisme.

Met deze functie kunt u alle mogelijke soorten aanvallen op afstand op de DNS-service identificeren.

4. Controle op de aanwezigheid van ICMP Redirect-berichten.

Deze functie geeft een melding bij detectie van een ICMP Redirect-bericht en de bijbehorende externe aanval.

5. Controle over de juistheid van verbindingspogingen op afstand door de verzonden verzoeken te analyseren.

Met deze functie kunt u ten eerste een poging detecteren om de wet te onderzoeken van het wijzigen van de initiële waarde van de TCP-verbindingsidentificatie - ISN, ten tweede een remote denial of service-aanval die wordt uitgevoerd door de wachtrij met verbindingsverzoeken te overlopen, en ten derde, gericht " een storm van "valse verbindingsverzoeken (zowel TCP als UDP), ook resulterend in denial of service."

Dus, Network Security Monitor IP-waarschuwing-1 stelt u in staat om alle soorten aanvallen op afstand die in hoofdstuk 4 worden beschreven, te detecteren, te waarschuwen en te loggen! Dit programma is echter op geen enkele manier een concurrent van Firewall-systemen. IP-waarschuwing-1, dat gebruikmaakt van de kenmerken van externe aanvallen op internet, beschreven en gesystematiseerd in hoofdstuk 4, dient als een noodzakelijke toevoeging - overigens onvergelijkbaar goedkoper - aan firewallsystemen. Zonder een beveiligingsmonitor blijven de meeste aanvalspogingen op afstand op uw netwerksegment voor u verborgen. Geen van de bekende firewall-auteurs houdt zich bezig met een dergelijke intellectuele analyse van berichten die door het netwerk gaan om verschillende soorten aanvallen op afstand te identificeren, en beperkt zich in het beste geval tot logging, dat informatie vastlegt over pogingen om wachtwoorden brute-force voor TELNET te gebruiken en FTP, poortscans en het netwerk scannen met het beroemde programma voor zoeken op afstand naar bekende kwetsbaarheden in netwerkbesturingssystemen - SATAN. Daarom, als de beheerder van het IP-netwerk niet onverschillig wil blijven en tevreden wil zijn met de rol van een eenvoudige statisticus tijdens aanvallen op afstand op zijn netwerk, dan is het raadzaam dat hij de Network Security Monitor gebruikt. IP-waarschuwing-1... Trouwens, we herinneren ons dat Tsutomu Shimomura in veel opzichten de aanval van Kevin Mitnick kon loggen, blijkbaar dankzij het tcpdump-programma - de eenvoudigste analysator van IP-verkeer.

Rijst. 3. Netwerkbeveiligingsmonitor IP Alert-1.

4. Markt voor beveiligingssystemen

4.1. Belangrijkste markttrends: statistieken en prognoses

Zoals je weet, bezit degene die informatie bezit de wereld. Tegenwoordig klinkt echter een andere, niet minder relevante uitspraak steeds overtuigender: degene die eigenaar is van informatie is constant bang om deze te verliezen of de controle erover te verliezen.

Volgens veel analisten veranderde in 2001 de aard van hacken aanzienlijk: als de hacker eerder voornamelijk één-op-één met het doelwit van de aanval handelde (dat wil zeggen in wezen apolitiek), kunnen we nu praten over groepsacties van hackers, die in de snel veranderende omgeving van de moderne wereld een mijlpaalverschijnsel is geworden. Een aanval is niet langer alleen een manier van zelfexpressie en geen "showcase", maar een hulpmiddel om een ​​doelwit te raken. Studies tonen aan dat het computernetwerk (CN) bijna overal zeer kwetsbaar is, waardoor de intensivering van dit soort activiteiten een direct gevaar met zich meebrengt, vooral in een tijd van spanning in de betrekkingen tussen verschillende politieke groeperingen en staten. Experts wijzen erop dat de meeste grote netwerkbronnen nog steeds kwetsbaar zijn.

Op basis van onderzoek naar algemene trends op het gebied van informatiebeveiliging in de IT-sector kan worden geconcludeerd dat bedrijven nogal traag hun informatiebeleid op het gebied van informatiebeveiliging aan het veranderen zijn, dat hun strategische visie voortdurend achterblijft bij de dekking van prospects en dat hun de praktijk van het omgaan met persoonsgegevens en het beveiligingsniveau van infrastructuren met arbeid zijn bevredigend te noemen. De argumenten die deze bewering ondersteunen zijn indrukwekkende cijfers. De meeste bedrijven correleren bijvoorbeeld hun activiteiten niet adequaat met bestaande bedreigingen: bijvoorbeeld slechts één op de 10 bedrijven verwijdert/wijzigt wachtwoorden nadat een werknemer is ontslagen, hoewel 80% van de bedrijven passende regelgeving heeft. Onderzoeksresultaten wijzen op een zwakke betrokkenheid van organisaties bij het controleren van informatiebeveiligingskwesties (35%), minimale inspanningen om juridisch onderzoek naar incidenten te stimuleren (17%) en een gebrek aan begrip van de bronnen van bedreigingen (79% gelooft nog steeds dat het gevaar komt van buitenaf, hoewel statistieken het tegendeel bewijzen). Studies hebben aangetoond dat 60% van de topmanagers informatiebeveiliging van bedrijven beschouwt als een technologisch probleem (een technologisch probleem) en slechts (40%) als een strategische zakelijke kwestie voor het bedrijf van een bedrijf.

Ondanks bovenstaande feiten is er op dit moment echter een duidelijke toename van de publieke aandacht voor de problemen van informatiebeveiliging, voor het spectrum van relaties dat gewoonlijk Elektronische Beveiliging wordt genoemd. Dit wordt bevestigd door het volgende. Volgens experts van het analytische bedrijf IDC zal de vraag naar internetbeveiligingssystemen de komende jaren snel groeien, waardoor deze marktsector een van de meest winstgevende zal worden. Volgens berekeningen van IDC zal de gemiddelde jaarlijkse groei van de markt voor internetbeveiligingssystemen in de komende vijf jaar 23% bedragen, en tegen 2005 zal de markt $ 14 miljard bedragen. Volgens experts van IDC ligt het grootste potentieel in de sector van de softwareproducten ontworpen voor veilige authenticatie, autorisatie en administratie, - in de zogenaamde sector van producten van groep 3A (Administratie, Autorisatie, Authenticatie). Volgens IDC bestaat 3A-software voor informatiebeveiliging uit implementaties van beheer-, autorisatie- en authenticatiefuncties die worden gebruikt om de beveiliging op individuele computersystemen of binnen een bedrijfskader te beheren, en omvat het processen voor het definiëren, maken, wijzigen, verwijderen en controleren van gebruikers. Dezelfde bron schat dat deze sector jaarlijks met 28% zal groeien en tegen 2005 67% van de markt zal innemen.

Het is bekend dat een van de factoren die de ontwikkeling van e-commerce tegenhouden, het veiligheidsprobleem is. Volgens een onderzoek van de Confederation of British Industry (CBI) geloven bedrijven meer in de veiligheid van B2B-activiteiten. Meer dan de helft van de door het CBI ondervraagde bedrijven zei dat ze B2B-handel vertrouwen, terwijl slechts 32% dit zei over B2C-activiteiten. Hoewel fraude met bankkaarten ongeveer 4% van het aantal ernstige incidenten uitmaakt, merken CBI-analisten op dat angst voor fraude de ontwikkeling van e-business, met name de B2C-sector, blijft belemmeren.

Naast andere belangrijke markttrends moet worden opgemerkt dat bedrijven nog niet klaar zijn om zichzelf te beschermen en een veilige service te bieden, aangezien ze niet genoeg gekwalificeerd personeel hebben (70,5%) en ze strategisch niet in staat zijn om te berekenen hoe winstgevend de introductie van nieuwe beveiligingspraktijken zullen zijn (45,9%). Dit zijn verre van bemoedigende resultaten die werden onthuld in de loop van een studie over Japan, dat geenszins een technologisch achterlijk land is. Experts stellen dat er een nijpend tekort is aan personeel op het gebied van netwerkbeveiliging, dat in staat is om de relevante taken effectief op te lossen.

Een van de meest recente peilingen van het afgelopen jaar registreerde groeiende Amerikaanse zorgen over privacy- en netwerkbeveiligingsproblemen. En hoewel de nadruk vooral lag op het beoordelen van de veiligheid van bedrijfs- en overheidsnetwerken, is er in de algemene context van de reacties bezorgdheid over alles wat mensen omringt in deze onzekere wereld: dat 71% van de respondenten zei zich zorgen te maken over het beveiligingsprobleem in de COP, en 78% maakt zich zorgen over de mogelijkheid van diefstal of ander ongeoorloofd gebruik van hun persoonlijke informatie in de COP.

Draadloze beveiliging blijft een punt van zorg voor zowel bedrijven als gebruikers. Beiden zijn bang dat hackers informatie on-the-fly kunnen onderscheppen. Daarnaast is het verlies door gebruikers van mobiele apparaten met vertrouwelijke informatie een potentieel probleem.

4.2. Structuur van de beveiligingsmarkt

Wat in de jaren '60 computerbeveiliging werd genoemd en gegevensbeveiliging in de jaren '70, wordt nu nauwkeuriger informatiebeveiliging genoemd. Informatiebeveiliging omvat maatregelen om de processen van gegevenscreatie, invoer, verwerking en uitvoer te beschermen. Het belangrijkste doel is om de nauwkeurigheid en integriteit van de informatie te beschermen en te waarborgen, om de schade die kan optreden als de informatie wordt gewijzigd of vernietigd, tot een minimum te beperken. Informatiebeveiliging vereist dat rekening wordt gehouden met alle gebeurtenissen wanneer informatie wordt gecreëerd, gewijzigd, wanneer deze wordt geopend en wanneer deze wordt verspreid.

Informatiebeveiliging garandeert het behalen van de volgende doelen:

· Vertrouwelijkheid van kritieke informatie;

· De integriteit van informatie en gerelateerde processen (creatie, input, verwerking en output);

· Beschikbaarheid van informatie, indien nodig;

· Boekhouding van alle processen die verband houden met informatie.

In algemene termen kan de beveiligingsmarkt voor informatiesystemen voorwaardelijk worden onderverdeeld in twee ideologisch niet-gerelateerde gebieden.

De eerste richting stelt als doel de informatiebescherming van netwerken, dat wil zeggen de bescherming van informatie die binnen informatienetwerken circuleert. Momenteel is het het meest gevraagd en daarom goed ontwikkeld. Dit omvat verschillende antivirussen, firewalls, cryptografische tools, beveiligingsprotocollen, digitale handtekeningen, enz. De meest betrouwbare tool van vandaag is versleuteling met openbare sleutels.

Het tweede gebied, dat zich de afgelopen jaren snel heeft ontwikkeld, houdt verband met de directe beveiliging van netwerkobjecten. Deze trend wordt voornamelijk vertegenwoordigd door mechanische apparaten die de toegang tot hardware verhinderen, dat wil zeggen tot servers, personal computers, enz. De belangrijkste taak van deze apparaten is om te voorkomen dat de indringer de computer opent met behulp van verschillende bevestigingsmiddelen, sloten, beschermkappen, enz. In het arsenaal bevinden zich ook softwaretools waarmee je gestolen computers kunt vinden nadat ze minimaal één keer zijn aangesloten op het telefoonnetwerk of op internet. Deze programma's bestaan ​​uit twee delen: de klant en het datacenter. Nadat de client op de computer is geïnstalleerd, neemt deze periodiek (elke 15 minuten) contact op met het centrum en verzendt het beschikbare informatie over de huidige status van de computer (IP-adres, telefoonnummer waarmee de computer momenteel is verbonden, enz.). De client is zodanig geïnstalleerd dat deze wordt beschermd tegen het formatteren van de harde schijf en niet zichtbaar is met de gebruikelijke middelen van het besturingssysteem (procesviewers). Een andere optie voor het implementeren van de tweede richting is dat computers, met behulp van extra bedrading en speciale sensoren die aan de achterkant van de computer zijn bevestigd, worden gecombineerd tot een netwerk dat verschilt van het datatransmissienetwerk en worden aangesloten op een hardwareapparaat dat in staat is om te registreren onbevoegde toegang en het activeren van een alarm ...

Hoogstwaarschijnlijk zullen we in de nabije toekomst getuige zijn van de integratie van deze twee gebieden, wat een natuurlijke stap is naar een hoger niveau van informatiebescherming. En als gevolg van een dergelijke integratie kan een soort universeel beveiligingssysteem verschijnen en heeft de beveiligingsbeheerder één werkplek van waaruit hij de volgorde van gegevensverwerking en de integriteit van objecten kan controleren. De installatie van een dergelijk systeem vereist geen extra bekabeling en de werking ervan heeft op geen enkele manier invloed op de prestaties van het datatransmissienetwerk.

4.3. Marktleiders in beveiligingssystemen

Symantec Corporation

Symantec Corporation, een van de wereldleiders op het gebied van internetbeveiligingsoplossingen, is een toonaangevende leverancier van beveiligingsoplossingen op de markt. Het Norton-merk van Symantec brengt een reeks toonaangevende beveiligingsproducten samen in zowel retail- als brancheonderscheidingen. Het hoofdkantoor van Symantec is gevestigd in Cupertino, NY. Californië. Het bedrijf heeft kantoren in 37 landen.

Gartner Dataquest noemde het bedrijf een wereldleider in de levering van informatiebeveiligingssoftware. Deze schatting is gebaseerd op de omzet uit de verkoop van nieuwe licenties in 2000. Uit het Gartner Dataquest-rapport blijkt dat de groei van Symantec de beveiligingsmarkt overtreft, waarbij de omzet van Symantec jaar op jaar met 40% groeit. "De fusie met Axent in december 2000 bracht Symantec Corporation van de 4e naar de 1e plaats op de lijst en nam 14,7% van de beveiligingsmarkt over", aldus het rapport. Symantec-beveiligingssoftware omvat volgens de Gartner Dataquest-classificatie: antivirussoftware, encryptieprogramma's, inbraakdetectietools en andere informatiebeveiligingstools - firewalls, webfilterprogramma's, toepassingen voor het controleren van toegang tot externe netwerken. Symantec biedt antivirus, firewall, VPN, beveiligingsproblemen en inbraakdetectie, internet- en e-mailfiltering, technologieën voor beheer op afstand en informatiebeveiligingsservices.

Netwerk Associates, Inc.

Dit bedrijf domineert, net als Symantec, vol vertrouwen de markt voor beveiligingssystemen en controleert ongeveer 60% van de wereldwijde antivirusmarkt. Volgens Network Associates, Inc. (NAI) heeft wereldwijd meer dan 60 miljoen gebruikers. NAI biedt een van de meest functionele en consumentgerichte programma's die bedrijfsnetwerken beschermen, beheren en bewaken. De functionaliteit en de breedte van de oplossingen die worden aangeboden door Network Associates worden aangevuld met functies die zijn verkregen van Pretty Good Privacy (PGP) en Magic Solutions, evenals de krachtige antivirusprogramma's Dr. Solomon's, waarvan de eerste versie begin 1997 werd uitgebracht door De software van Dr. Solomon. McAfee (een divisie van Network Associates, Inc.) meldt dat McAfee GroupShield Exchange voor het derde jaar op rij de Best Buy Award van Secure Computing Magazine heeft gewonnen en daarmee de MS Exchange antivirus-vergelijkingstest heeft gewonnen. McAfee GroupShield scoorde de hoogste score in de 2001 Microsoft Exchange Antivirus Comparison Review en presteerde beter dan andere antivirusleveranciers zoals Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates en anderen.

bedrijf Computer Associates International, Inc.

Het IDC-rapport identificeerde Computer Associates International, Inc. (CA) als toonaangevende leverancier van authenticatie-, autorisatie- en administratiesoftware (3A) met 15,5% van de wereldmarkt. In 2001 identificeerde IDC's 2001-2005 Global Internet Security Software Market Forecast and Analysis CA voor het tweede achtereenvolgende jaar als 's werelds toonaangevende leverancier van internetbeveiligingssoftware. CA biedt 3A-oplossingen via de eTrust-productfamilie (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control en eTrust Intrusion Detection). "CA is de duidelijke wereldleider op het gebied vann, zowel wat betreft technologie-efficiëntie als de totale marktomvang", aldus Barry Keyes, CA's VP van eTrust Solutions. "De voordelen van ons nieuwe bedrijfsmodel voor licenties, uitgebreide technische service en transparante, geïntegreerde e-business managementoplossing hebben ons in staat gesteld een ongeëvenaarde waardepropositie te bieden aan beveiligingsmanagers en serviceproviders van ondernemingen." De eTrust-productfamilie stelt het managementteam in staat om een ​​end-to-end geautomatiseerd systeem te beveiligen, de toegang te beheren en het beheer en de beveiliging te waarborgen. ETrust voldoet aan de huidige normen voor gegevensbescherming en zorgt voor interoperabiliteit met bestaande interne beveiligingsmechanismen en die van netwerkpartners.

Tot slot wil ik nogmaals opmerken dat het probleem van informatiebeveiliging elk jaar urgenter wordt. En de markt, die inspeelt op de enorme vraag, zal zeker betrouwbare en behoorlijk waardige beveiligingsoplossingen bieden, en biedt overigens al aan. En het belangrijkste is nu om op welke manier dan ook een einde te maken aan het ontstaan ​​van informatiechaos, die wordt veroorzaakt door amateurs die over hun schouder meekijken of in andermans elektronische portefeuilles snuffelen. En daarvoor moet iedereen voor zichzelf een betrouwbaar middel voor informatiebescherming kiezen, dat hem een ​​goede informatiebeveiliging zal bieden.

Gevolgtrekking

Aanvankelijk was het netwerk opgezet als een onbeschermd open systeem bedoeld voor informatiecommunicatie van een toenemend aantal gebruikers.

Tegelijkertijd moet de verbinding van nieuwe gebruikers zo eenvoudig mogelijk zijn en moet toegang tot informatie het gemakkelijkst zijn. Dit alles is duidelijk in tegenspraak met de principes van het creëren van een veilig systeem, waarvan de beveiliging in alle stadia van de oprichting en werking moet worden beschreven, en gebruikers moeten over duidelijke bevoegdheden beschikken.

De makers van het netwerk hebben hier niet naar gestreefd, en de beveiligingsvereisten zouden het project zo ingewikkeld maken dat ze de oprichting ervan nauwelijks mogelijk zouden maken.

Conclusie: internet is gemaakt als een onbeschermd systeem, niet bedoeld voor het opslaan en verwerken van vertrouwelijke informatie. Bovendien zou het beschermde internet niet het systeem kunnen worden dat het nu is en niet veranderen in een informatief beeld van de wereldcultuur, haar verleden en heden. Dit is de onafhankelijke waarde van het web en, mogelijk, de onzekerheid ervan is de prijs die betaald moet worden voor zo'n hoge opdracht.

Gevolg: er zijn veel gebruikers die van internet een systeem willen maken met gecategoriseerde informatie en gebruikersrechten die onderworpen zijn aan een bepaald beveiligingsbeleid.

De helderste creaties van de menselijke geest beginnen echter na een tijdje een onafhankelijk leven te leiden, waarbij ze zich ontwikkelen en verder gaan dan de oorspronkelijke bedoelingen van hun makers. Daarom maakt de zwakke beveiliging van het netwerk zich in de loop van de tijd steeds meer zorgen over zijn gebruikers.

Naar onze mening mag er geen informatie op internet staan ​​waarvan de openbaarmaking ernstige gevolgen zou hebben. Integendeel, het is noodzakelijk om informatie op internet te plaatsen, waarvan de verspreiding wenselijk is voor de eigenaar. Tegelijkertijd moet er altijd rekening mee worden gehouden dat deze informatie op elk moment kan worden onderschept, vervormd of ontoegankelijk kan worden. De vraag zou dan ook niet moeten gaan over de veiligheid van het internet, maar over het waarborgen van de redelijke toereikendheid van de informatiebeveiliging van het Netwerk.

Dit neemt natuurlijk niet weg dat het nodig is de gebruiker vertrouwd te maken met het rijke en steeds groter wordende arsenaal aan software en hardware voor het waarborgen van netwerkinformatiebeveiliging. Houd er echter rekening mee dat ze het internet niet kunnen transformeren in een veilige omgeving, wat zou betekenen dat de aard ervan moet veranderen.

Zal het internet veilig zijn? De ontwikkeling van internetbeveiligingstools kan in strijd zijn met het doel ervan en het idee van internet vervormen. Het is legitiemer om de kwestie aan de orde te stellen van het creëren van een gespecialiseerde veilige wereldinfosfeer die is ontworpen om de wereldproductie, het transport en de geopolitiek te beheren. Blijkbaar zal vooruitgang leiden tot de noodzaak om zo'n uniform systeem te creëren. Een dergelijke communicatieomgeving zal een beveiligingsarchitectuur hebben en de integriteit en vertrouwelijkheid van informatie garanderen. Het is duidelijk dat de makers van dit systeem ervoor moeten zorgen dat de politieke en economische belangen van de wereldactoren worden gerespecteerd, aangezien multiveldeigendom van dit systeem controle over de wereld betekent.

Het is duidelijk dat zo'n medium het internet in zijn huidige vorm niet kan zijn. Het belangrijkste is, naar onze mening, om af te zien van het streven om het internet van vandaag dichter bij een dergelijke omgeving voor het beheer van de wereld te brengen. Het internet is op zijn eigen manier goed zoals het is.

Wat is het vooruitzicht van de bescherming van informatiesystemen in het tijdperk van integratie van informatieverwerkingsomgevingen? Naar onze mening bestaat de uitweg uit deze situatie in een duidelijke afbakening van informatie die van vitaal belang is voor onderwerpen - gebruikers - en het creëren van gespecialiseerde systemen voor de verwerking ervan. Dergelijke systemen moeten in het wereldwijde netwerk kunnen worden geïntegreerd en tegelijkertijd hun informatie-isolatie in één richting kunnen garanderen.

ComputerPress 8 "1999"

Lukatskiy AV Aanvaldetectiesystemen // Banktechnologieën. 1999. Nr. 2.

ComputerPers 10 "2001

ComputerDruk 3 "2002

Lezing 33 Soorten en soorten netwerkaanvallen

Lezing 33

Onderwerp: Soorten en soorten netwerkaanvallen

Netwerkaanval op afstand is een informatief destructief effect op een gedistribueerd computersysteem, programmatisch uitgevoerd via communicatiekanalen.

Invoering

Om de communicatie in een heterogene netwerkomgeving te organiseren, wordt een reeks TCP / IP-protocollen gebruikt, die compatibiliteit tussen verschillende typen computers garanderen. Deze reeks protocollen won aan populariteit vanwege de compatibiliteit en het bieden van toegang tot de bronnen van het wereldwijde internet en werd de standaard voor internetwerken. De alomtegenwoordigheid van de TCP / IP-stack heeft echter ook zijn zwakke punten blootgelegd. Hierdoor zijn met name gedistribueerde systemen vatbaar voor aanvallen op afstand, omdat hun componenten meestal open datatransmissiekanalen gebruiken en de indringer niet alleen passief naar de verzonden informatie kan luisteren, maar ook het verzonden verkeer kan wijzigen.

De moeilijkheid om een ​​aanval op afstand te detecteren en het relatieve gemak van uitvoering (vanwege de redundante functionaliteit van moderne systemen) brengt dit soort illegale acties op de eerste plaats in termen van de mate van gevaar en belemmert een tijdige reactie op de dreiging die is uitgevoerd, waardoor de aanvaller de kans op succesvolle uitvoering van de aanval vergroot.

Aanval classificatie

Door de aard van de impact

Passief

Actief

Een passieve impact op een gedistribueerd computersysteem (DCS) is een vorm van impact die niet direct van invloed is op de werking van het systeem, maar die tegelijkertijd het beveiligingsbeleid kan schenden. Het ontbreken van een directe invloed op de werking van het DCS leidt er juist toe dat de passieve invloed op afstand (PEL) moeilijk te detecteren is. Een mogelijk voorbeeld van een typische RCS in een DCS is het luisteren naar een communicatiekanaal in een netwerk.

Een actieve impact op het DCS is een impact die een directe impact heeft op de werking van het systeem zelf (storingen, wijzigen van de DCS-configuratie, enz.), die in strijd is met het daarin aangenomen beveiligingsbeleid. Bijna alle soorten aanvallen op afstand zijn actieve invloeden. Dit is te wijten aan het feit dat een actief principe is opgenomen in de aard van de schadelijke impact. Een duidelijk verschil tussen actieve en passieve beïnvloeding is de fundamentele mogelijkheid van detectie, aangezien als gevolg van de implementatie ervan enkele veranderingen in het systeem optreden. Bij passieve beïnvloeding blijven er absoluut geen sporen achter (doordat de aanvaller andermans bericht in het systeem bekijkt, verandert er eigenlijk niets op hetzelfde moment).

Door het doel van de impact

Schending van de werking van het systeem (toegang tot het systeem)

Schending van de integriteit van informatiebronnen (IR)

Schending van IR-geheimhouding

Dit criterium, waarmee de classificatie wordt gemaakt, is in feite een directe projectie van de drie basistypen van dreigingen - denial of service, disclosure en schending van integriteit.

Het belangrijkste doel dat bij bijna elke aanval wordt nagestreefd, is het verkrijgen van ongeautoriseerde toegang tot informatie. Er zijn twee basisopties voor het verkrijgen van informatie: vervorming en onderschepping. De mogelijkheid om informatie te onderscheppen betekent toegang krijgen tot deze informatie zonder de mogelijkheid deze te wijzigen. Het onderscheppen van informatie leidt dus tot een schending van de vertrouwelijkheid ervan. Luisteren naar een kanaal op het netwerk is een voorbeeld van het onderscheppen van informatie. In dit geval is er onrechtmatige toegang tot informatie zonder mogelijke vervangingsopties. Het is ook duidelijk dat de schending van vertrouwelijkheid van informatie verwijst naar passieve invloeden.

De mogelijkheid om informatie te vervangen moet worden begrepen als ofwel volledige controle over de informatiestroom tussen systeemobjecten, ofwel de mogelijkheid om verschillende berichten namens iemand anders over te dragen. Het is daarom duidelijk dat de vervanging van informatie leidt tot een schending van de integriteit ervan. Een dergelijke informatieve destructieve invloed is een typisch voorbeeld van actieve beïnvloeding. Een voorbeeld van een aanval op afstand die is ontworpen om de integriteit van informatie te schenden, kan een aanval op afstand (UA) "False object of the RCS" zijn.

Door de aanwezigheid van feedback met het aangevallen object

Met feedback

Open loop (unidirectionele aanval)

De aanvaller stuurt enkele verzoeken naar het aangevallen object, waarop hij een reactie verwacht. Hierdoor ontstaat er een terugkoppeling tussen de aanvaller en de aangevallene, waardoor de eerste adequaat kan reageren op allerlei veranderingen op het aangevallen object. Dit is de essentie van een aanval op afstand die wordt uitgevoerd in aanwezigheid van feedback van het aanvallende object. Dergelijke aanvallen zijn het meest typerend voor RVS.

Open-loop-aanvallen worden gekenmerkt door het feit dat ze niet hoeven te reageren op veranderingen op het aangevallen object. Dergelijke aanvallen worden meestal uitgevoerd door enkele verzoeken naar het aangevallen object te sturen. De aanvaller heeft geen antwoorden op deze verzoeken nodig. Deze UA kan ook een unidirectionele UA worden genoemd. Een voorbeeld van unidirectionele aanvallen is een typische DoS-aanval.

Door de toestand van het begin van de impact

Impact op afstand, zoals elke andere, kan alleen onder bepaalde voorwaarden worden uitgevoerd. Er zijn drie soorten van dergelijke voorwaardelijke aanvallen in RVS:

Aanval op aanvraag van het aangevallen object

Aanval bij het optreden van de verwachte gebeurtenis op het aangevallen object

onvoorwaardelijke aanval

De aanvaller begint invloed uit te oefenen op de voorwaarde dat het potentiële doelwit van de aanval een verzoek van een bepaald type verzendt. Een dergelijke aanval kan een verzoekaanval van het aangevallen object worden genoemd. Dit type UA is het meest typerend voor RVS. Een voorbeeld van dergelijke zoekopdrachten op internet zijn DNS- en ARP-query's en in Novell NetWare een SAP-query.

Aanval op het optreden van de verwachte gebeurtenis op het aangevallen object. De aanvaller bewaakt continu de OS-status van het externe doelwit van de aanval en begint de impact wanneer een specifieke gebeurtenis zich voordoet in dit systeem. Het aangevallen object zelf is de initiator van de aanval. Een voorbeeld van een dergelijke gebeurtenis is de onderbreking van een gebruikerssessie met de server zonder een LOGOUT-opdracht in Novell NetWare te geven.

Een onvoorwaardelijke aanval wordt onmiddellijk uitgevoerd en ongeacht de staat van het besturingssysteem en het aangevallen object. De aanvaller is in dit geval dus de initiatiefnemer van de aanval.

Bij een storing van het systeem worden andere doelen nagestreefd en wordt niet verwacht dat een aanvaller zich onrechtmatig toegang verschaft tot gegevens. Het doel is om het besturingssysteem op het aangevallen object uit te schakelen en de onmogelijkheid van toegang voor andere objecten in het systeem tot de bronnen van dit object. Een voorbeeld van dit type aanval is de DoS-aanval UA.

Door de locatie van het onderwerp van de aanval ten opzichte van het aangevallen object

Intrasegment

Intersegment

Enkele definities:

De bron van de aanval (het onderwerp van de aanval) is het programma (eventueel de operator), die de aanval leidt en directe actie uitvoert.

Host (host) - een computer die een onderdeel van het netwerk is.

Een router is een apparaat dat zorgt voor de routering van pakketten op een netwerk.

Een subnetwerk is een groep hosts die deel uitmaken van een wereldwijd netwerk en worden onderscheiden door hetzelfde subnetnummer dat door de router aan hen is toegewezen. Je kunt ook zeggen dat een subnet een logische associatie is van hosts via een router. Hosts binnen hetzelfde subnet kunnen rechtstreeks met elkaar communiceren zonder een router te gebruiken.

Een netwerksegment is een groep hosts op de fysieke laag.

Vanuit het oogpunt van een aanval op afstand is de relatieve positie van het onderwerp en het object van de aanval uiterst belangrijk, dat wil zeggen of ze zich in verschillende of in dezelfde segmenten bevinden. Tijdens een intra-segment aanval bevinden het onderwerp en het object van de aanval zich in hetzelfde segment. In het geval van een segmentoverschrijdende aanval bevinden het onderwerp en het doelwit van de aanval zich op verschillende netwerksegmenten. Deze classificatiefunctie maakt het mogelijk om de zogenaamde "mate of remoteness" van de aanval te beoordelen.

Hieronder zal worden aangetoond dat een intra-segment aanval praktisch veel gemakkelijker uit te voeren is dan een intersegment-aanval. Merk ook op dat een cross-segment aanval op afstand een veel groter gevaar vormt dan een intra-segment-aanval. Dit komt doordat bij een intersegment-aanval het object en de directe aanvaller zich op een afstand van vele duizenden kilometers van elkaar kunnen bevinden, wat maatregelen om de aanval af te weren aanzienlijk kan belemmeren.

Op het niveau van het ISO/OSI-referentiemodel waarop de impact wordt uitgevoerd

Fysiek

kanaal

Netwerk

Vervoer

Sessie

Vertegenwoordiger

Toegepast

De International Organization for Standardization (ISO) heeft de ISO 7498-standaard aangenomen, die de interoperabiliteit van open systemen (OSI) beschrijft, waartoe ook de PBC behoort. Elk netwerkcommunicatieprotocol, evenals elk netwerkprogramma, kan op de een of andere manier worden geprojecteerd op het 7-laags OSI-referentiemodel. Een dergelijke gelaagde projectie maakt het mogelijk om de functies die in een netwerkprotocol of programma worden gebruikt te beschrijven in termen van het OSI-model. UA is een netwerkprogramma en het is logisch om het te beschouwen vanuit het oogpunt van projectie op het ISO / OSI-referentiemodel.

Een korte beschrijving van enkele netwerkaanvallen

Gegevensfragmentatie

Bij het verzenden van een IP-datapakket over een netwerk kan dit pakket worden opgedeeld in verschillende fragmenten. Vervolgens wordt het pakket bij het bereiken van de bestemming uit deze fragmenten hersteld. Een aanvaller kan het verzenden van een groot aantal fragmenten initiëren, wat leidt tot een overloop van softwarebuffers aan de ontvangende kant en, in sommige gevallen, tot een abnormale systeembeëindiging.

Ping overstromingsaanval

Deze aanval vereist dat de aanvaller toegang heeft tot snelle internetkanalen.

Het ping-programma verzendt een ICMP ECHO REQUEST-pakket met de tijd en ID. De kernel van de ontvangende machine reageert op een dergelijk verzoek met een ICMP ECHO REPLY-pakket. Wanneer ping het ontvangt, meldt het de snelheid van het pakket.

In de standaardmodus worden pakketten met tussenpozen verzonden, waardoor het netwerk praktisch niet wordt belast. Maar in de "agressieve" modus kan een stroom van ICMP-echo-verzoek-/antwoordpakketten een kleine regel overbelasten, waardoor deze de mogelijkheid ontneemt om nuttige informatie te verzenden.

IP-ingekapselde niet-standaard protocollen

Het IP-pakket bevat een veld dat het protocol van het ingekapselde pakket definieert (TCP, UDP, ICMP). Aanvallers kunnen een niet-standaardwaarde van dit veld gebruiken om gegevens over te dragen die niet kunnen worden vastgelegd door standaardmiddelen voor informatiestroombeheer.

Smurfen aanval

De smurfenaanval bestaat uit het verzenden van ICMP-uitzendingen naar het netwerk namens de computer van het slachtoffer.

Als gevolg hiervan reageren computers die dergelijke uitzendpakketten hebben ontvangen op de computer van het slachtoffer, wat leidt tot een aanzienlijke afname van de bandbreedte van het communicatiekanaal en, in sommige gevallen, tot volledige isolatie van het aangevallen netwerk. De smurfenaanval is uiterst effectief en wijdverbreid.

Tegenmaatregelen: om deze aanval te herkennen, is het noodzakelijk om de kanaalbelasting te analyseren en de redenen voor de afname van de doorvoer te bepalen.

DNS-spoofing-aanval

Het resultaat van deze aanval is de introductie van de gedwongen correspondentie tussen het IP-adres en de domeinnaam in de DNS-servercache. Als gevolg van een succesvolle implementatie van een dergelijke aanval krijgen alle gebruikers van de DNS-server onjuiste informatie over domeinnamen en IP-adressen. Deze aanval wordt gekenmerkt door een groot aantal DNS-pakketten met dezelfde domeinnaam. Dit komt door de noodzaak om enkele DNS-uitwisselingsparameters te selecteren.

Tegenmaatregelen: om een ​​dergelijke aanval te detecteren, is het noodzakelijk om de inhoud van DNS-verkeer te analyseren of DNSSEC te gebruiken.

IP-spoofing-aanval

Bij een groot aantal aanvallen op internet wordt het oorspronkelijke IP-adres vervalst. Dergelijke aanvallen omvatten ook syslog-spoofing, waarbij een bericht naar een slachtoffercomputer wordt gestuurd namens een andere computer op het interne netwerk. Aangezien het syslog-protocol wordt gebruikt om systeemlogboeken bij te houden, is het mogelijk om informatie op te leggen of de sporen van ongeautoriseerde toegang te verbergen door valse berichten naar de computer van het slachtoffer te sturen.

Tegenactie: detectie van aanvallen met betrekking tot spoofing van IP-adressen is mogelijk door de ontvangst op een van de interfaces van een pakket te monitoren met het bronadres van dezelfde interface of door de ontvangst van pakketten met IP-adressen van het interne netwerk op de externe koppel.

Pakketten afdwingen

De aanvaller stuurt pakketten naar het netwerk met een vals retouradres. Met deze aanval kan een aanvaller verbindingen tussen andere computers naar zijn computer schakelen. In dit geval worden de toegangsrechten van de aanvaller gelijk aan de rechten van de gebruiker wiens verbinding met de server is overgeschakeld naar de computer van de aanvaller.

Snuiven - naar een kanaal luisteren

Alleen mogelijk in het lokale netwerksegment.

Bijna alle netwerkkaarten ondersteunen de mogelijkheid om pakketten op te vangen die via een gemeenschappelijk LAN-kanaal worden verzonden. In dit geval kan het werkstation pakketten ontvangen die zijn geadresseerd aan andere computers op hetzelfde netwerksegment. Zo komt alle informatie-uitwisseling in het netwerksegment beschikbaar voor de aanvaller. Om deze aanval te laten slagen, moet de computer van de aanvaller zich op hetzelfde LAN-segment bevinden als de aangevallen computer.

Pakketten vastleggen op een router

De netwerksoftware van de router heeft toegang tot alle netwerkpakketten die via deze router worden verzonden, wat het vastleggen van pakketten mogelijk maakt. Om deze aanval uit te voeren, moet een aanvaller geprivilegieerde toegang hebben tot ten minste één router op het netwerk. Aangezien veel pakketten meestal via een router worden verzonden, is hun totale onderschepping bijna onmogelijk. Het is echter mogelijk dat individuele pakketten worden onderschept en opgeslagen voor latere analyse door een aanvaller. De meest effectieve onderschepping van FTP-pakketten die gebruikerswachtwoorden bevatten, evenals e-mail.

Een valse route opleggen aan een host met ICMP

Op internet is er een speciaal ICMP-protocol (Internet Control Message Protocol), waarvan een van de functies is om hosts te informeren over het wijzigen van de huidige router. Dit controlebericht wordt omleiding genoemd. Het is mogelijk om namens de router een vals omleidingsbericht naar de aangevallen host te sturen vanaf elke host in het netwerksegment. Als gevolg hiervan verandert de huidige routeringstabel van de host en zal in de toekomst al het netwerkverkeer van deze host bijvoorbeeld gaan via de host die een vals omleidingsbericht heeft verzonden. Het is dus mogelijk om actief een valse route op te leggen binnen één segment van internet.

Naast de gebruikelijke gegevens die via een TCP-verbinding worden verzonden, voorziet de standaard ook in de overdracht van urgente (Out Of Band) gegevens. Op het niveau van TCP-pakketformaten wordt dit uitgedrukt als een urgente pointer die niet nul is. De meeste pc's waarop Windows is geïnstalleerd, hebben het NetBIOS-netwerkprotocol, dat voor zijn behoeften drie IP-poorten gebruikt: 137, 138, 139. Als u verbinding maakt met een Windows-machine op poort 139 en een paar OutOfBand-databytes daarheen stuurt, zal de NetBIOS-implementatie niet wetend wat te doen met deze gegevens, hangt het gewoon op of start het de machine opnieuw op. Voor Windows 95 ziet dit er meestal uit als een blauw tekstscherm dat een fout meldt in het TCP/IP-stuurprogramma en het onvermogen om met het netwerk te werken totdat het besturingssysteem opnieuw is opgestart. NT 4.0 start opnieuw op zonder servicepacks, NT 4.0 met ServicePack 2-pack valt in een blauw scherm. Afgaande op de informatie uit het netwerk zijn zowel Windows NT 3.51 als Windows 3.11 for Workgroups vatbaar voor een dergelijke aanval.

Het verzenden van gegevens naar poort 139 resulteert in een herstart van NT 4.0, of een "blue screen of death" met geïnstalleerd Service Pack 2. Een soortgelijke verzending van gegevens naar 135 en enkele andere poorten leidt tot een aanzienlijke belasting van het RPCSS.EXE-proces. Op Windows NT WorkStation leidt dit tot een aanzienlijke vertraging, Windows NT Server loopt praktisch vast.

Betrouwbare host-spoofing

Bij succesvolle externe aanvallen van dit type kan een aanvaller zich namens een vertrouwde host aanmelden bij de server. (Trusted host is een station dat legaal is verbonden met de server). De implementatie van dit type aanval bestaat meestal uit het verzenden van uitwisselingspakketten vanaf het station van de aanvaller namens een vertrouwd station onder zijn controle.

Aanvaldetectietechnologieën

Netwerk- en informatietechnologieën veranderen zo snel dat statische beschermingsmechanismen, waaronder toegangscontrolesystemen, ME, authenticatiesystemen, in veel gevallen geen effectieve bescherming kunnen bieden. Daarom zijn dynamische methoden nodig om inbreuken op de beveiliging snel te detecteren en te voorkomen. Een technologie die overtredingen kan detecteren die niet kunnen worden geïdentificeerd met behulp van traditionele modellen voor toegangscontrole, is technologie voor inbraakdetectie.

In wezen is het inbraakdetectieproces het proces van het beoordelen van verdachte activiteiten die plaatsvinden op het bedrijfsnetwerk. Met andere woorden, inbraakdetectie is het proces van het identificeren van en reageren op verdachte activiteiten gericht op computer- of netwerkbronnen.

Methoden voor het analyseren van netwerkinformatie

De effectiviteit van een inbraakdetectiesysteem hangt grotendeels af van de methoden die worden gebruikt om de ontvangen informatie te analyseren. De eerste inbraakdetectiesystemen die in het begin van de jaren tachtig werden ontwikkeld, maakten gebruik van statistische technieken om aanvallen te detecteren. Momenteel zijn er een aantal nieuwe technieken toegevoegd aan statistische analyse, van expertsystemen en fuzzy logic tot het gebruik van neurale netwerken.

statistische methode:

De belangrijkste voordelen van de statistische benadering zijn het gebruik van het reeds ontwikkelde en bewezen apparaat van wiskundige statistiek en aanpassing aan het gedrag van het onderwerp.

Eerst worden profielen bepaald voor alle onderwerpen van het geanalyseerde systeem. Elke afwijking van het gebruikte referentieprofiel wordt beschouwd als ongeoorloofde activiteit. Statistische methoden zijn universeel, omdat voor analyse geen kennis vereist is van mogelijke aanvallen en de kwetsbaarheden die ze gebruiken. Bij het gebruik van deze technieken zijn er echter ook problemen:

"Statistische" systemen zijn ongevoelig voor de volgorde van gebeurtenissen; in sommige gevallen kunnen dezelfde gebeurtenissen, afhankelijk van hun volgorde, abnormale of normale activiteit kenmerken;

Het is moeilijk om de grenswaarden (drempelwaarden) in te stellen van de kenmerken die worden bewaakt door het inbraakdetectiesysteem om afwijkende activiteit adequaat te identificeren;

"Statistische" systemen kunnen in de loop van de tijd door aanvallers worden "getraind", zodat aanvallende acties als normaal worden beschouwd.

Houd er ook rekening mee dat statistische methoden niet van toepassing zijn in gevallen waarin er geen patroon van typisch gedrag voor de gebruiker is of wanneer ongeautoriseerde acties typisch zijn voor de gebruiker.

Expertsystemen

Expertsystemen zijn samengesteld uit een reeks regels die de kennis van een menselijke expert omvatten. Het gebruik van expertsystemen is een veelgebruikte methode voor het detecteren van aanvallen, waarbij informatie over aanvallen wordt geformuleerd in de vorm van regels. Deze regels kunnen bijvoorbeeld worden geschreven als een opeenvolging van acties of als een handtekening. Wanneer een van deze regels wordt gevolgd, wordt een beslissing genomen over de aanwezigheid van ongeoorloofde activiteit. Een belangrijk voordeel van deze aanpak is de vrijwel volledige afwezigheid van valse alarmen.

De database van het expertsysteem moet de scenario's bevatten van de meeste van de momenteel bekende aanvallen. Om constant up-to-date te blijven, hebben expertsystemen constante database-updates nodig. Hoewel expertsystemen een goede mogelijkheid bieden om de gegevens in de logboeken te bekijken, kunnen de vereiste updates ofwel worden genegeerd of handmatig worden uitgevoerd door de beheerder. Dit leidt op zijn minst tot een verzwakt expertsysteem. In het ergste geval vermindert het gebrek aan goed onderhoud de beveiliging van het hele netwerk, waardoor de gebruikers worden misleid over het werkelijke beveiligingsniveau.

Het grootste nadeel is de onmogelijkheid om onbekende aanvallen af ​​te weren. Tegelijkertijd kan zelfs een kleine verandering in een reeds bekende aanval een ernstige belemmering vormen voor het functioneren van het inbraakdetectiesysteem.

Neurale netwerken

De meeste moderne aanvalsdetectiemethoden gebruiken een of andere vorm van op regels gebaseerde of statistische analyse van gecontroleerde ruimte. De bewaakte ruimte kan logs of netwerkverkeer zijn. De analyse is gebaseerd op een reeks vooraf gedefinieerde regels die zijn gemaakt door de beheerder of door het inbraakdetectiesysteem zelf.

Elke verdeling van een aanval in tijd of over meerdere aanvallers is moeilijk te detecteren met expertsystemen. Vanwege de grote verscheidenheid aan aanvallen en hackers, zullen zelfs speciale constante updates van de database van de regels van het expertsysteem nooit een nauwkeurige identificatie van het hele scala aan aanvallen garanderen.

Het gebruik van neurale netwerken is een van de manieren om de aangegeven problemen van expertsystemen te overwinnen. In tegenstelling tot expertsystemen, die de gebruiker een definitief antwoord kunnen geven over de overeenstemming van de kenmerken die worden overwogen met de regels die in de database zijn vastgelegd, analyseert het neurale netwerk de informatie en biedt het de mogelijkheid om te beoordelen of de gegevens consistent zijn met de kenmerken die het is geleerd te herkennen. Hoewel de mate van overeenstemming van de weergave van het neurale netwerk 100% kan bereiken, hangt de betrouwbaarheid van de keuze volledig af van de kwaliteit van het systeem bij de analyse van voorbeelden van de taak die voorhanden is.

Eerst wordt het neurale netwerk getraind om correct te identificeren op een vooraf geselecteerde steekproef van domeinvoorbeelden. De respons van het neurale netwerk wordt geanalyseerd en het systeem wordt zodanig afgesteld dat bevredigende resultaten worden bereikt. Naast de initiële trainingsperiode doet het neurale netwerk in de loop van de tijd ervaring op bij het analyseren van gegevens met betrekking tot het vakgebied.

Een belangrijk voordeel van neurale netwerken bij het opsporen van misbruik is hun vermogen om de kenmerken van opzettelijke aanvallen te 'leren' en elementen te identificeren die niet lijken op de eerder in het netwerk waargenomen elementen.

Elk van de beschreven methoden heeft een aantal voor- en nadelen, dus nu is het praktisch moeilijk om een ​​systeem te vinden dat slechts één van de beschreven methoden implementeert. Meestal worden deze methoden in combinatie gebruikt.

Stuur uw goede werk in de kennisbank is eenvoudig. Gebruik het onderstaande formulier

Studenten, afstudeerders, jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.

Invoering

Aanval op een computersysteem is een actie die door een aanvaller wordt ondernomen om een ​​bepaalde kwetsbaarheid te vinden en te gebruiken. Een aanval is dus een realisatie van een dreiging. Merk op dat een dergelijke interpretatie van een aanval (waarbij een persoon met kwade bedoelingen betrokken is) het toevalselement uitsluit dat aanwezig is in de definitie van een bedreiging, maar, zoals de ervaring leert, is het vaak onmogelijk om onderscheid te maken tussen opzettelijke en onopzettelijke acties, en een goed afweersysteem moet adequaat reageren op een van hen. ... Verder identificeren onderzoekers over het algemeen drie hoofdtypen beveiligingsbedreigingen: openbaarmaking, integriteit en denial of service-bedreigingen. Bedreiging openbaring is dat informatie bekend wordt bij iemand die het niet zou moeten weten. In termen van computerbeveiliging doet zich een onthullingsdreiging voor wanneer toegang wordt verkregen tot vertrouwelijke informatie, hetzij opgeslagen op een computersysteem, hetzij overgedragen van het ene systeem naar het andere. Soms worden de termen "diefstal" of "lekkage" gebruikt in plaats van het woord "openbaarmaking".

Bedreiging integriteit omvat elke opzettelijke wijziging (wijziging of zelfs verwijdering) van gegevens die zijn opgeslagen in een computersysteem of van het ene systeem naar het andere worden overgedragen. Over het algemeen wordt aangenomen dat de dreiging van openbaarmaking kwetsbaarder is voor overheidsinstanties en de bedreiging voor integriteit - zakelijk of commercieel.

Bedreiging denial of service treedt op wanneer, als gevolg van bepaalde acties, de toegang tot een bepaalde bron van het computersysteem wordt geblokkeerd. In feite kan blokkering permanent zijn, zodat de gevraagde bron nooit wordt verkregen, of het kan de gevraagde bron alleen lang genoeg vertragen om onbruikbaar te worden. In dergelijke gevallen wordt gezegd dat de bron is uitgeput.

Typische bedreigingen in de internetomgeving zijn:

Storing van een van de netwerkcomponenten. Falen als gevolg van ontwerpfouten of hardware- of softwarefouten kan leiden tot denial of service of de beveiliging in gevaar brengen als gevolg van een storing in een van de netwerkcomponenten. Falen van een firewall of valse autorisatieweigeringen door authenticatieservers zijn voorbeelden van storingen die een impact hebben op de beveiliging.

Informatie scannen. Ongeoorloofde weergave van kritieke informatie door indringers of geautoriseerde gebruikers kan plaatsvinden met behulp van verschillende mechanismen - e-mail met de verkeerde ontvanger, afdruk van de printer, verkeerd geconfigureerde toegangscontrolelijsten, delen van dezelfde ID door meerdere mensen, enz.

Misbruik van informatie - het gebruik van informatie voor andere dan de toegestane doeleinden kan leiden tot denial of service, onnodige kosten, reputatieverlies. Zowel interne als externe gebruikers kunnen de boosdoener zijn.

1. Aanvalsdetectie

Historisch gezien zijn de technologieën die worden gebruikt om systemen voor aanvalsdetectie te bouwen, gewoonlijk onderverdeeld in twee categorieën: detectie van afwijkingen en detectie van misbruik. In de praktijk wordt echter een andere classificatie gebruikt, rekening houdend met de principes van de praktische implementatie van dergelijke systemen: aanvalsdetectie op netwerkniveau (netwerkgebaseerd) en op hostniveau (hostgebaseerd). De eerste analyseert het netwerkverkeer, terwijl de laatste het besturingssysteem of de applicatielogboeken analyseert. Elk van de klassen heeft zijn eigen voor- en nadelen, maar daarover later meer. Opgemerkt moet worden dat slechts enkele inbraakdetectiesystemen ondubbelzinnig kunnen worden toegewezen aan een van de genoemde klassen. In de regel bevatten ze de mogelijkheden van verschillende categorieën. Deze classificatie weerspiegelt echter de belangrijkste mogelijkheden die het ene inbraakdetectiesysteem van het andere onderscheiden.

Momenteel is anomaliedetectietechnologie niet wijdverbreid en wordt deze niet gebruikt in een commercieel gedistribueerd systeem. Dit komt doordat deze technologie er in theorie mooi uitziet, maar in de praktijk erg lastig te implementeren is. Nu is er echter een geleidelijke terugkeer naar (vooral in Rusland), en het is te hopen dat gebruikers binnenkort de eerste commerciële aanvalsdetectiesystemen zullen zien die deze technologie gebruiken.

Een andere benadering van aanvalsdetectie is misbruikdetectie, wat erin bestaat een aanval te beschrijven in de vorm van een patroon of handtekening en naar dit patroon te zoeken in een gecontroleerde ruimte (netwerkverkeer of log). Antivirussystemen zijn een goed voorbeeld van een inbraakdetectiesysteem dat deze technologie gebruikt.

Zoals hierboven vermeld, zijn er twee soorten systemen die aanvallen op netwerk- en operationeel niveau detecteren. Het fundamentele voordeel van netwerkgebaseerde inbraakdetectiesystemen is dat ze aanvallen identificeren voordat ze de doelhost bereiken. Deze systemen zijn gemakkelijker te implementeren in grote netwerken omdat ze niet hoeven te worden geïnstalleerd op de verschillende platforms die in de organisatie worden gebruikt. In Rusland zijn MS-DOS, Windows 95, NetWare en Windows NT de meest voorkomende besturingssystemen. Verschillende UNIX-dialecten zijn in ons land nog niet zo wijdverbreid als in het Westen. Bovendien hebben inbraakdetectiesystemen op netwerkniveau weinig of geen invloed op de netwerkprestaties.

Host-gebaseerde inbraakdetectiesystemen zijn ontworpen om te werken onder een specifiek besturingssysteem, dat bepaalde beperkingen aan hen oplegt. Ik ken bijvoorbeeld geen enkel systeem van deze klasse dat onder MS-DOS of Windows for Workgroups werkt (en deze besturingssystemen zijn nog steeds vrij wijdverbreid in Rusland). Met behulp van kennis over hoe het besturingssysteem zich hoort te "dragen", kunnen hulpprogramma's die met deze aanpak zijn gebouwd, soms indringers detecteren die hulpprogramma's voor detectie van netwerkaanvallen over het hoofd zien. Dit wordt echter vaak tegen hoge kosten bereikt, omdat de aanhoudende registratie die nodig is om dit soort detectie uit te voeren, de prestaties van de beschermde host aanzienlijk vermindert. Dergelijke systemen belasten de processor zwaar en vereisen grote hoeveelheden schijfruimte voor het opslaan van logs en zijn in principe niet toepasbaar voor zeer kritische systemen die in realtime werken (bijvoorbeeld het Operational Day-systeem van de Bank of het dispatch control-systeem). Hoe dan ook, beide benaderingen kunnen worden gebruikt om uw organisatie te beschermen. Als u een of meer knooppunten wilt beschermen, kunnen inbraakdetectiesystemen op hostniveau een goede keuze zijn. Als u echter een groot deel van de netwerkknooppunten van uw organisatie wilt beschermen, zijn inbraakdetectiesystemen op netwerkniveau waarschijnlijk de beste keuze, aangezien het verhogen van het aantal knooppunten op het netwerk op geen enkele manier invloed zal hebben op het beveiligingsniveau dat door inbraak wordt bereikt. detectie systemen. Het zal extra nodes kunnen beschermen zonder extra configuratie, terwijl in het geval van gebruik van een systeem dat op hostniveau werkt, u het voor elke beschermde host moet installeren en configureren. De ideale oplossing zou een inbraakdetectiesysteem zijn dat beide benaderingen combineert. ComputerPress 8 "1999"

Commercial Intrusion Detection Systems (IDS) die momenteel op de markt zijn, gebruiken een netwerk- of systeembenadering om aanvallen te herkennen en te beperken. Hoe dan ook, deze producten zijn op zoek naar aanval handtekeningen, specifieke patronen die meestal wijzen op vijandig of verdacht gedrag. Bij het zoeken naar deze patronen in netwerkverkeer werkt IDS aan netwerk niveau. Als IDS in het besturingssysteem of de toepassingslogboeken zoekt naar handtekeningen van aanvallen, dan is het: systeem niveau. Elke benadering heeft zijn eigen voor- en nadelen, maar beide vullen elkaar aan. Het meest effectief is een inbraakdetectiesysteem dat beide technologieën in zijn werk gebruikt. Dit artikel bespreekt de verschillen in methoden voor het detecteren van aanvallen op netwerk- en systeemniveau om hun sterke en zwakke punten aan te tonen. Het beschrijft ook hoe elke methode kan worden gebruikt om aanvallen het meest effectief te detecteren.

1.1 Detectie van netwerklaagaanvallen

Detectiesystemen voor netwerklaagaanvallen gebruiken onbewerkte netwerkpakketten als gegevensbron voor analyse. Doorgaans gebruiken netwerklaag-IDS's een promiscue netwerkadapter en analyseren ze verkeer in realtime terwijl het door het netwerksegment reist. De Attack Recognition Engine gebruikt vier bekende methoden om een ​​aanvalssignatuur te herkennen:

o Naleving van verkeer met een patroon (handtekening), uitdrukking of bytecode, kenmerkend voor een aanval of verdachte actie;

o Monitoring van de frequentie van gebeurtenissen of overschrijding van de drempel;

o Correlatie van verschillende gebeurtenissen met een lage prioriteit;

o Detectie van statistische anomalieën.

Zodra een aanval is gedetecteerd, biedt de responsmodule een breed scala aan opties voor melding, alarm en tegenmaatregelen als reactie op de aanval. Deze opties variëren van systeem tot systeem, maar omvatten doorgaans: de beheerder op de hoogte stellen via de console of e-mail, de verbinding met de aanvallende host beëindigen en/of een sessie opnemen voor latere analyse en het verzamelen van bewijsmateriaal.

1.2 Aanvalsdetectie op systeemniveau

In het begin van de jaren tachtig, voordat netwerken zich zelfs maar ontwikkelden, was de meest gebruikelijke praktijk voor het detecteren van aanvallen het scannen van logboeken op gebeurtenissen die duidden op verdachte activiteit. De huidige inbraakdetectiesystemen op systeemniveau blijven een krachtig hulpmiddel voor het begrijpen van aanvallen die al hebben plaatsgevonden en het identificeren van geschikte methoden om het toekomstige gebruik ervan aan te pakken. Moderne IDS'en op systeemniveau gebruiken nog steeds logboeken, maar ze zijn meer geautomatiseerd en bevatten geavanceerde detectiemethoden die zijn gebaseerd op het nieuwste onderzoek in de wiskunde. Doorgaans bewaakt IDS op systeemniveau het systeem, gebeurtenissen en beveiligingslogboeken (syslog) op netwerken met Windows NT of Unix. Wanneer een van deze bestanden verandert, vergelijkt IDS de nieuwe vermeldingen met aanvalssignaturen om te zien of er een overeenkomst is. Als een dergelijke overeenkomst wordt gevonden, stuurt het systeem een ​​alarm naar de beheerder of activeert het andere vooraf gedefinieerde reactiemechanismen.

IDS op systeemniveau evolueert voortdurend en bevat geleidelijk steeds meer nieuwe detectiemethoden. Een van die populaire technieken is om de controlesommen van de belangrijkste systeem- en uitvoerbare bestanden met regelmatige tussenpozen te controleren op ongeoorloofde wijzigingen. Tijdigheid van de respons is direct gerelateerd aan de frequentie van de peiling. Sommige producten luisteren op actieve poorten en stellen de beheerder op de hoogte wanneer iemand toegang probeert te krijgen. Dit type detectie introduceert een rudimentair niveau van detectie van aanvallen op netwerkniveau in de besturingsomgeving.

1.3 Voordelen van inbraakdetectiesystemen op netwerklagen

IDS's op netwerkniveau hebben veel voordelen die niet worden gevonden in inbraakdetectiesystemen op systeemniveau. Veel klanten gebruiken zelfs een inbraakdetectiesysteem op een netwerklaag vanwege de lage kosten en de tijdige reactie. Hieronder volgen de belangrijkste redenen waarom inbraakdetectie op netwerkniveau het belangrijkste onderdeel is van een effectieve handhaving van het beveiligingsbeleid.

1. Lage eigendomskosten. Network Layer IDS moet op de meest kritieke locaties op het netwerk worden geïnstalleerd om het verkeer tussen meerdere systemen te regelen. Netwerklaagsystemen vereisen niet dat inbraakdetectiesoftware op elke host wordt geïnstalleerd. Aangezien het aantal sites waarop IDS is geïnstalleerd om het hele netwerk te bewaken klein is, zijn de kosten om ze op het bedrijfsnetwerk te gebruiken lager dan de kosten van het gebruik van inbraakdetectiesystemen op systeemniveau.

2. Detectie van aanvallen die op systeemniveau worden overgeslagen. Netwerklaag IDS onderzoekt de headers van netwerkpakketten op verdachte of vijandige activiteiten. IDS'en op systeemniveau werken niet met pakketheaders, daarom kunnen ze dit soort aanvallen niet detecteren. Veel netwerk-denial-of-service- en TearDrop-aanvallen kunnen bijvoorbeeld alleen worden geïdentificeerd door de pakketheaders te onderzoeken terwijl ze door het netwerk reizen. Dit type aanval kan snel worden geïdentificeerd met behulp van een netwerklaag-IDS die het verkeer in realtime bewaakt. Netwerklaag-IDS's kunnen de inhoud van een pakketgegevenslichaam onderzoeken, op zoek naar opdrachten of specifieke syntaxis die bij specifieke aanvallen worden gebruikt. Wanneer een hacker bijvoorbeeld het Back Orifice-programma probeert te gebruiken op systemen die er nog niet door worden beïnvloed, kan dit feit worden gedetecteerd door de inhoud van de databody van het pakket te onderzoeken. Zoals hierboven vermeld, werken systemen op systeemniveau niet op netwerkniveau en kunnen dergelijke aanvallen daarom niet detecteren.

3. Voor een hacker is het moeilijker om sporen van hun aanwezigheid te verwijderen. Network Layer IDS gebruikt live verkeer om aanvallen in realtime te detecteren. Zo kan de hacker de sporen van zijn aanwezigheid niet verwijderen. De geanalyseerde gegevens bevatten niet alleen informatie over de aanvalsmethode, maar ook informatie die kan helpen bij het identificeren van de aanvaller en het bewijzen hiervan in de rechtszaal. Omdat veel hackers bekend zijn met de logboeken, weten ze hoe ze deze bestanden moeten manipuleren om hun sporen te verbergen, wat de efficiëntie vermindert van de systemen op systeemniveau die deze informatie nodig hebben om een ​​aanval te detecteren.

4. Detectie en reactie in realtime. IDS'en op netwerkniveau detecteren verdachte en vijandige aanvallen EVENALS ZE HEBBEN, en bieden daarom veel snellere meldingen en reacties dan IDS'en op systeemniveau. Een hacker die bijvoorbeeld een op TCP gebaseerde denial-of-service netwerklaagaanval initieert, kan worden gestopt door de netwerklaag-IDS die de ingestelde Reset-vlag in de TCP-header verzendt om de verbinding met de aanvaller te beëindigen voordat de aanval vernietiging of schade aanricht aan de aanvaller. gastheer. IDS'en op systeemniveau herkennen aanvallen meestal pas als ze zijn geregistreerd en reageren nadat het logboek is geschreven. Tegen die tijd zijn de belangrijkste systemen of bronnen mogelijk al gecompromitteerd of is het systeem waarop de IDS op systeemniveau draait mogelijk verstoord. Dankzij realtime notificaties kunt u snel reageren volgens vooraf gedefinieerde parameters. Het bereik van deze reacties varieert van het toestaan ​​van infiltratie in de bewakingsmodus om informatie over de aanval en de aanvaller te verzamelen tot het onmiddellijk beëindigen van de aanval.

5. Detectie van mislukte aanvallen of verdachte bedoelingen. Een netwerklaag-IDS die buiten de firewall (ITU) is geïnstalleerd, kan aanvallen detecteren die zijn gericht op bronnen achter de ITU, ook al zal de ITU deze pogingen afslaan. Systemen op systeemniveau zien geen gereflecteerde aanvallen die de host achter de ITU niet bereiken. Deze verloren informatie kan het belangrijkste zijn bij het beoordelen en verbeteren van het beveiligingsbeleid.

6. OS-onafhankelijkheid. IDS op netwerkniveau zijn onafhankelijk van de besturingssystemen die op het bedrijfsnetwerk zijn geïnstalleerd. Inbraakdetectiesystemen op systeemniveau vereisen specifieke besturingssystemen om goed te functioneren en de gewenste resultaten te genereren.

1.4 Voordelen van inbraakdetectiesystemen op systeemniveau

Hoewel inbraakdetectiesystemen op systeemniveau niet zo snel zijn als hun tegenhangers op netwerkniveau, bieden ze voordelen die deze laatste niet hebben. Deze voordelen omvatten meer rigoureuze analyse, meer aandacht voor gebeurtenisgegevens op een specifieke host en lagere implementatiekosten.

1. Bevestigt het succes of falen van de aanval. Omdat IDS'en op systeemniveau logbestanden gebruiken met gegevens over gebeurtenissen die daadwerkelijk hebben plaatsgevonden, kunnen IDS'en van deze klasse met hoge nauwkeurigheid bepalen of een aanval echt succesvol was of niet. In dit opzicht vormen IDS'en op systeemniveau een uitstekende aanvulling op inbraakdetectiesystemen op netwerkniveau. Deze combinatie zorgt voor een vroegtijdige waarschuwing met de netwerkcomponent en het "succes" van een aanval met de systeemcomponent.

2. Bewaakt de activiteit van een specifiek knooppunt. IDS op systeemniveau bewaakt gebruikersactiviteit, toegang tot bestanden, wijzigingen in toegangsrechten voor bestanden, pogingen om nieuwe programma's te installeren en/of pogingen om toegang te krijgen tot bevoorrechte services. Een IDS op systeemniveau kan bijvoorbeeld alle aan- en afmeldingsactiviteiten van een gebruiker bewaken, evenals acties die door elke gebruiker worden uitgevoerd wanneer deze is aangesloten op het netwerk. Het is erg moeilijk voor een netwerklaagsysteem om dit niveau van granulariteit van gebeurtenissen te bieden. Inbraakdetectietechnologie op systeemniveau kan ook activiteiten bewaken die normaal alleen door een beheerder zouden worden uitgevoerd. Besturingssystemen registreren elke gebeurtenis die gebruikersaccounts toevoegt, verwijdert of wijzigt. IDS'en op systeemniveau kunnen een overeenkomstige wijziging detecteren zodra deze zich voordoet. IDS'en op systeemniveau kunnen ook wijzigingen in het beveiligingsbeleid controleren die van invloed zijn op hoe systemen hun logboeken bijhouden, enz.

Uiteindelijk kunnen inbraakdetectiesystemen op systeemniveau wijzigingen in belangrijke systeembestanden of uitvoerbare bestanden bewaken. Pogingen om dergelijke bestanden te overschrijven of Trojaanse paarden te installeren, kunnen worden gedetecteerd en onderdrukt. Netwerklaagsystemen zien dit soort activiteiten soms over het hoofd.

3. Detecteer aanvallen die worden gemist door netwerklaagsystemen. IDS'en op systeemniveau kunnen aanvallen detecteren die niet kunnen worden gedetecteerd door tools op netwerkniveau. Aanvallen die vanaf de aangevallen server zelf worden gelanceerd, kunnen bijvoorbeeld niet worden gedetecteerd door detectiesystemen voor netwerklaagaanvallen.

4. Zeer geschikt voor versleutelde en geschakelde netwerken. Omdat de IDS op systeemniveau op verschillende hosts in een bedrijfsnetwerk is geïnstalleerd, kan het enkele van de problemen oplossen die zich voordoen bij het bedienen van systemen op netwerkniveau in versleutelde en geschakelde netwerken.

Door te switchen kunnen grootschalige netwerken worden beheerd als meerdere kleine netwerksegmenten. Als gevolg hiervan kan het moeilijk zijn om de beste plaats te bepalen om de netwerklaag-IDS te installeren. Soms kunnen beheerde poorten en spiegelpoorten, spanpoorten op switches helpen, maar deze methoden zijn niet altijd van toepassing. Aanvalsdetectie op systeemniveau zorgt voor een efficiëntere werking in geschakelde netwerken, omdat: stelt u in staat om IDS alleen op die knooppunten te plaatsen waar het nodig is.

Bepaalde soorten versleuteling vormen ook uitdagingen voor inbraakdetectiesystemen op de netwerklaag. Afhankelijk van waar de codering wordt uitgevoerd (kanaal of abonnee), kan de netwerklaag-IDS "blind" blijven voor bepaalde aanvallen. IDS op systeemniveau hebben deze beperking niet. Bovendien analyseert het besturingssysteem, en dus de IDS op systeemniveau, het ontsleutelde inkomende verkeer.

5. Bijna realtime detectie en respons. Hoewel aanvalsdetectie op systeemniveau geen echt realtime antwoord biedt, kan het, indien correct geïmplementeerd, in bijna realtime worden bereikt. In tegenstelling tot oudere systemen die de status en inhoud van de logboeken met vooraf bepaalde tussenpozen controleren, ontvangen veel moderne IDS'en op systeemniveau een OS-onderbreking wanneer een nieuwe logboekinvoer verschijnt. Dit nieuwe record kan onmiddellijk worden verwerkt, waardoor de tijd tussen het herkennen van een aanval en het reageren erop aanzienlijk wordt verkort. Er is een vertraging tussen het moment waarop het besturingssysteem een ​​gebeurtenis naar het logbestand schrijft en het moment waarop het wordt herkend door het inbraakdetectiesysteem, maar in veel gevallen kan een aanvaller worden gedetecteerd en gestopt voordat hij schade aanricht.

6. Geen extra hardware nodig. Inbraakdetectiesystemen op systeemniveau worden geïnstalleerd op de bestaande netwerkinfrastructuur, inclusief bestandsservers, webservers en andere in gebruik zijnde bronnen. Deze mogelijkheid kan IDS's op systeemniveau zeer kosteneffectief maken, omdat er geen ander knooppunt op het netwerk nodig is om te worden bewaakt, onderhouden en beheerd.

7. Lage prijs. Hoewel inbraakdetectiesystemen in de netwerklaag verkeersanalyse van het hele netwerk bieden, zijn ze vaak vrij duur. De kosten van één inbraakdetectiesysteem kunnen meer dan $ 10.000 bedragen. Aan de andere kant kosten inbraakdetectiesystemen op systeemniveau honderden dollars per agent en kunnen ze door de klant worden gekocht als het nodig is om slechts een paar knooppunten van de onderneming te controleren, zonder netwerkaanvallen te beheersen.

1.5 De ​​behoefte aan inbraakdetectiesystemen op zowel netwerk- als systeemniveau

Beide oplossingen: IDS en netwerk- en systeemniveaus hebben hun eigen voordelen en voordelen die elkaar effectief aanvullen. De volgende generatie IDS moet daarom geïntegreerde systeem- en netwerkcomponenten bevatten. De combinatie van deze twee technologieën zal de weerstand van het netwerk tegen aanvallen en misbruik aanzienlijk verbeteren, het beveiligingsbeleid aanscherpen en een grotere flexibiliteit introduceren bij de exploitatie van netwerkbronnen.

De onderstaande afbeelding illustreert hoe technieken voor inbraakdetectie op systeem- en netwerkniveau samenwerken om een ​​effectievere firewall te creëren. Sommige gebeurtenissen worden alleen gedetecteerd door netwerksystemen. Anderen - alleen met behulp van het systeem. Sommige vereisen dat beide typen aanvalsdetectie worden gebruikt voor betrouwbare detectie.

Figuur 1. V interoperabiliteit van aanvalsdetectiemethoden op systeem- en netwerkniveau

1.6 Lijst met vereisten voor inbraakdetectiesystemen van de volgende generatie

Functies voor inbraakdetectiesystemen van de volgende generatie:

1. Mogelijkheden om aanvallen op systeem- en netwerkniveau te detecteren, geïntegreerd in één systeem.

2. Gedeelde beheerconsole met een consistente interface voor productconfiguratie, beheerbeleid en weergave van individuele gebeurtenissen van zowel systeem- als netwerkcomponenten van het inbraakdetectiesysteem.

3. Geïntegreerde database met evenementen.

4. Geïntegreerd rapportagesysteem.

5. Mogelijkheden om gebeurtenissen te correleren.

6. Geïntegreerde online hulp voor incidentrespons.

7. Uniforme en consistente installatieprocedures.

8. De mogelijkheid toevoegen om uw eigen evenementen te beheren.

In het vierde kwartaal van 1998 kwam RealSecureT versie 3.0 uit, die aan al deze eisen voldoet.

· RealSecure Tracking Module - detecteert netwerklaagaanvallen op Ethernet-, Fast Ethernet-, FDDI- en Token Ring-netwerken.

· RealSecure Agent - detecteert aanvallen op servers en andere systeemapparaten.

· RealSecure Manager — Een beheerconsole die configuratie biedt voor RealSecure-trackers en agenten en realtime analyse van netwerkverkeer en systeemlogboeken integreert. Lukatskiy AV Aanvaldetectiesystemen // Banktechnologieën. 1999. Nr. 2.

2. De hele wereld zit vol met aanvallen

Er zijn twee strategieën die kunnen worden gebruikt om te verdedigen tegen verschillende soorten aanvallen. De eerste is het verwerven van de meest aangeprezen (maar niet altijd de beste) verdedigingssystemen tegen allerlei soorten aanvallen. Deze methode is heel eenvoudig, maar vereist een enorme investering. Geen enkele thuisgebruiker of zelfs het hoofd van een organisatie zal dit doen. Daarom wordt meestal de tweede strategie gebruikt, die bestaat uit een voorlopige analyse van waarschijnlijke dreigingen en de daaropvolgende selectie van middelen om zich daartegen te beschermen.

Dreigingsanalyse, of risicoanalyse, kan ook op twee manieren. Een complexe, maar effectievere manier is dat alvorens de meest waarschijnlijke dreigingen worden gekozen, een analyse wordt uitgevoerd van het informatiesysteem, de daarin verwerkte informatie, de gebruikte software en hardware, etc. Dit zal het bereik van potentiële aanvallen aanzienlijk verkleinen en daardoor de efficiëntie verhogen van het investeren van geld in de gekochte beveiligingstools. Een dergelijke analyse vereist echter tijd, geld en, belangrijker nog, hooggekwalificeerde specialisten die een inventarisatie van het geanalyseerde netwerk uitvoeren. Er zijn maar weinig bedrijven, laat staan ​​thuisgebruikers, die het zich kunnen veroorloven deze weg in te slaan. Wat te doen? U kunt de keuze van beveiligingstools maken op basis van de zogenaamde standaardbedreigingen, dat wil zeggen de meest voorkomende. Ondanks het feit dat sommige inherente bedreigingen voor het beschermde systeem genegeerd kunnen worden, zullen de meeste toch binnen het geschetste kader vallen. Wat zijn de meest voorkomende soorten bedreigingen en aanvallen? Dit artikel is gewijd aan het antwoord op deze vraag. Om de gepresenteerde gegevens nauwkeuriger te maken, zal ik statistieken gebruiken die uit verschillende bronnen zijn verkregen.

Cijfers, cijfers, cijfers...

Wie pleegt het vaakst computercriminaliteit en voert verschillende aanvallen uit? Wat zijn de meest voorkomende bedreigingen? Ik zal de gegevens citeren die zijn verkregen door de meest gezaghebbende bron op dit gebied - het Computer Security Institute (CSI) en de groep computeraanvallen van de FBI-afdeling in San Francisco. Deze gegevens werden in maart 2000 gepubliceerd in de 2000 CSI / FBI Computer Crime and Security Survey. Volgens deze gegevens:

· 90% van de respondenten (grote bedrijven en overheidsorganisaties) registreerde verschillende aanvallen op hun informatiebronnen;

· 70% van de respondenten meldde ernstige schendingen van het beveiligingsbeleid, zoals virussen, denial-of-service-aanvallen, misbruik door werknemers, enz.;

· 74% van de respondenten heeft als gevolg van deze overtredingen aanzienlijke financiële verliezen geleden.

Ook de verliezen als gevolg van schendingen van het veiligheidsbeleid zijn de afgelopen jaren toegenomen. Als in 1997 het bedrag aan verliezen gelijk was aan $ 100 miljoen, in 1999 - 124 miljoen, dan steeg dit cijfer in 2000 tot $ 266 miljoen. Het bedrag aan verliezen door denial of service-aanvallen bereikte 8,2 miljoen dollar. Andere interessante gegevens zijn onder meer de bronnen van aanvallen, de soorten veelvoorkomende aanvallen en de omvang van hun verliezen.

Een andere gerenommeerde bron, het CERT Coördinatiecentrum, bevestigt deze gegevens ook. Bovendien valt volgens de gegevens die hij verzamelde de toename van beveiligingsincidenten samen met de opkomst van internet.

De interesse in e-commerce zal deze groei de komende jaren stimuleren. Er is ook een andere trend opgemerkt. In de jaren tachtig en het begin van de jaren negentig vielen externe aanvallers internetsites aan uit nieuwsgierigheid of om hun vaardigheden te demonstreren. Tegenwoordig streven aanvallen meestal financiële of politieke doelen na. Volgens veel analisten is het aantal succesvolle penetraties in informatiesystemen alleen al in 1999 verdubbeld ten opzichte van het voorgaande jaar (van 12% naar 23%). Zowel in 2000 als in 2001 zet deze trend zich voort.

Er zijn ook Russische statistieken op dit gebied. En hoewel het onvolledig is en, naar de mening van veel experts, slechts het topje van de ijsberg vertegenwoordigt, zal ik toch deze cijfers geven. In 2000 werden volgens het ministerie van Binnenlandse Zaken 1375 computercriminaliteit geregistreerd. In vergelijking met 1999 is dit cijfer meer dan 1,6 keer zo groot geworden. Uit de gegevens van de afdeling voor de bestrijding van misdrijven op het gebied van geavanceerde technologieën van het ministerie van Binnenlandse Zaken van de Russische Federatie (afdeling "R") blijkt dat de meeste misdaden - 584 van het totaal - verband houden met illegale toegang tot computerinformatie ; 258 gevallen betreft materiële schade met behulp van computerhulpmiddelen; 172 misdaden worden in verband gebracht met het creëren en verspreiden van verschillende virussen, of liever, "kwaadaardige programma's voor computers"; 101 misdrijven - uit de serie "illegale productie of verwerving met het oog op de verkoop van technische middelen voor het illegaal verkrijgen van informatie", 210 - fraude met het gebruik van computer- en telecommunicatienetwerken; 44 - schending van de regels voor de werking van computers en hun netwerken. ComputerPers 10 "2001

3. Hoe kunt u uzelf beschermen tegen aanvallen vanop afstand op internet?

Het bijzondere van het internet van tegenwoordig is dat 99% van de informatiebronnen van het netwerk openbaar beschikbaar zijn. Toegang op afstand tot deze bronnen kan anoniem worden uitgevoerd door elke onbevoegde gebruiker van het netwerk. Een voorbeeld van dergelijke ongeautoriseerde toegang tot openbare bronnen is verbinding maken met WWW- of FTP-servers, als dergelijke toegang is toegestaan.

Nadat is bepaald tot welke bronnen van internet de gebruiker toegang wil hebben, moet de volgende vraag worden beantwoord: gaat de gebruiker externe toegang van het netwerk tot zijn bronnen toestaan? Zo niet, dan is het logisch om een ​​"puur client"-besturingssysteem te gebruiken als netwerkbesturingssysteem (bijvoorbeeld Windows "95 of NT Workstation), dat geen serverprogramma's bevat die externe toegang bieden, en dus externe toegang tot dit besturingssysteem. systeem. eigenlijk onmogelijk, omdat het simpelweg niet wordt geleverd door software (bijvoorbeeld Windows "95 of NT, hoewel met één maar: er zijn echt geen FTP-, TELNET-, WWW-, enz.-servers voor deze systemen, maar we moeten de ingebouwde in de mogelijkheid om op afstand toegang te verlenen tot het bestandssysteem, de zogenaamde delen bronnen. En als je je tenminste de vreemde positie van Microsoft herinnert met betrekking tot het waarborgen van de beveiliging van zijn systemen, moet je serieus nadenken voordat je een beslissing neemt over de producten van dit bedrijf. Het laatste voorbeeld: er is een programma op internet verschenen dat een aanvaller op afstand toegang geeft tot het bestandssysteem van Windows NT 4.0!). De keuze voor een clientbesturingssysteem lost grotendeels het beveiligingsprobleem voor een bepaalde gebruiker op (u hebt geen toegang tot een bron die gewoon niet bestaat!). In dit geval gaat de functionaliteit van het systeem echter achteruit. Hier is het tijd om, naar onze mening, het basisaxioma van veiligheid te formuleren:

Veiligheidsaxioma. De principes van toegankelijkheid, gemak, prestaties en functionaliteit van een computersysteem staan ​​haaks op de principes van de beveiliging ervan.

Dit axioma ligt in principe voor de hand: hoe toegankelijker, handiger, sneller en multifunctioneler vliegtuigen, hoe minder veilig het is. Er zijn veel voorbeelden. Bijvoorbeeld DNS-service: handig maar gevaarlijk.

Laten we teruggaan naar de keuze van de gebruiker voor het besturingssysteem van het clientnetwerk. Dit is overigens een van de zeer verstandige stappen die leiden tot een netwerkbeleid van isolationisme. Dit netwerkbeveiligingsbeleid is bedoeld om uw computersysteem zo volledig mogelijk van de buitenwereld te isoleren. Een van de stappen om dit beleid af te dwingen is bijvoorbeeld het gebruik van Firewall-systemen, waarmee u een speciaal beveiligd segment kunt maken (bijvoorbeeld een particulier netwerk), gescheiden van het wereldwijde netwerk. Natuurlijk weerhoudt niets je ervan om dit beleid van netwerk isolationisme tot op het punt van absurditeit te brengen - gewoon de netwerkkabel uittrekken (volledige isolatie van de buitenwereld!). Vergeet niet dat dit ook een "oplossing" is voor alle problemen met aanvallen op afstand en netwerkbeveiliging (door het volledig ontbreken hiervan).

Laat de internetgebruiker dus beslissen om alleen het netwerkbesturingssysteem van de client te gebruiken om toegang te krijgen tot het netwerk en het alleen te gebruiken voor ongeautoriseerde toegang. Zijn beveiligingsproblemen opgelost? Helemaal niet! Alles zou goed zijn als het niet zo slecht was. Voor een Denial of Service-aanval is het absoluut niet relevant, noch het type toegang dat door de gebruiker wordt gebruikt, noch het type netwerk-besturingssysteem (hoewel het client-besturingssysteem enigszins de voorkeur verdient vanuit het oogpunt van bescherming tegen aanvallen). Deze aanval, waarbij gebruik wordt gemaakt van fundamentele beveiligingslacunes in de protocollen en infrastructuur van internet, valt het netwerkbesturingssysteem op de host van een gebruiker aan met als enig doel de functionaliteit ervan te verstoren. Windows 95 of Windows NT is het meest lucratieve doelwit voor een nep-ICMP denial-of-service-aanval, een aanvaller die zijn prestaties kan verstoren, tenzij hij een trucje wil uithalen.

3.1 Beheermethoden voor bescherming tegen aanvallen op afstand op internet

De meest juiste stap in deze richting zou zijn om een ​​uit te nodigen die samen met u het hele scala aan taken zal proberen op te lossen om het vereiste vereiste beveiligingsniveau voor uw gedistribueerde vliegtuig te garanderen. Dit is een vrij moeilijke complexe taak, voor de oplossing waarvan moet worden bepaald wat (de lijst van gecontroleerde objecten en middelen van het DCS), van wat (analyse van mogelijke bedreigingen voor dit DCS) en hoe (ontwikkeling van eisen, vaststelling van een beveiligingsbeleid en het ontwikkelen van administratieve en hardware-software maatregelen om in de praktijk het ontwikkelde beveiligingsbeleid te beschermen.

Misschien wel de eenvoudigste en goedkoopste zijn de administratieve methoden van bescherming tegen informatievernietigende invloeden.

3.1.1 Hoe kan ik mezelf beschermen tegen analyse van netwerkverkeer?

Er is een aanval waarbij een cracker alle informatie kan onderscheppen die wordt uitgewisseld tussen externe gebruikers met behulp van software die luistert op een berichttransmissiekanaal op het netwerk, als alleen niet-versleutelde berichten via het kanaal worden verzonden. Er kan ook worden aangetoond dat de basistoepassingsprotocollen van TELNET en FTP voor toegang op afstand niet voorzien in elementaire codering van zelfs identifiers (namen) en authenticators (wachtwoorden) van gebruikers die via het netwerk worden verzonden. Daarom kunnen netwerkbeheerders uiteraard worden geadviseerd om deze onderliggende protocollen niet te gebruiken om op afstand te voorzien geautoriseerd toegang krijgen tot de bronnen van hun systemen en de analyse van netwerkverkeer beschouwen als die constant aanwezige bedreiging die niet kan worden geëlimineerd, maar je kunt de implementatie ervan in wezen zinloos maken door sterke crypto-algoritmen te gebruiken om de IP-stroom te beschermen.

3.1.2 Hoe kan ik mezelf beschermen tegen een valse ARP-server?

In het geval dat het netwerkbesturingssysteem geen informatie heeft over de correspondentie van IP- en Ethernet-adressen van hosts binnen één segment van het IP-netwerk, kunt u met dit protocol een broadcast-ARP-verzoek verzenden om het benodigde Ethernet-adres te vinden, waarnaar een aanvaller kan een valse reactie sturen, en in de toekomst zal al het verkeer op linkniveau door de aanvaller worden onderschept en via de valse ARP-server gaan. Het is duidelijk dat om deze aanval te elimineren, het noodzakelijk is om de reden te elimineren waarom het mogelijk is om het uit te voeren. De belangrijkste reden voor het succes van deze aanval op afstand is het ontbreken van de benodigde informatie van het besturingssysteem van elke host over de corresponderende IP- en Ethernet-adressen van alle andere hosts binnen dit netwerksegment. De eenvoudigste oplossing zou dus zijn dat de netwerkbeheerder een statische ARP-tabel in de vorm van een bestand maakt (meestal / etc / ethers op UNIX), waar de juiste adresinformatie moet worden ingevoerd. Dit bestand wordt op elke host binnen het segment geïnstalleerd en daarom hoeft het netwerk-besturingssysteem geen externe ARP-lookup te gebruiken.

3.1.3 Hoe kan ik mezelf beschermen tegen een vervalste DNS-server?

Door DNS in zijn huidige vorm op internet te gebruiken, zou een cracker wereldwijde controle over verbindingen kunnen krijgen door een lokroute door de lokmiddel-DNS-server van de kraker te forceren. Op basis van mogelijke DNS-kwetsbaarheden zou deze aanval op afstand desastreuze gevolgen kunnen hebben voor een groot aantal internetgebruikers en zou kunnen leiden tot een massale inbreuk op de cyberbeveiliging van dit wereldwijde netwerk. De volgende twee paragrafen suggereren mogelijke administratieve methoden om deze externe aanval te voorkomen of te belemmeren voor netwerkbeheerders en gebruikers en voor DNS-serverbeheerders.

a) Hoe kan een netwerkbeheerder zichzelf beschermen tegen een valse DNS-server?

Als het antwoord op deze vraag kort is, dan zeker niet. Er is geen administratieve of programmatische verdediging tegen een aanval op een bestaande versie van de DNS-service. De beste beveiligingsoplossing zou zijn om helemaal te stoppen met het gebruik van de DNS-service in uw beveiligde segment! Het zal natuurlijk niet erg handig zijn voor gebruikers om het gebruik van namen bij het verwijzen naar hosts volledig te verlaten. Daarom kunnen we de volgende afwegingsoplossing bieden: gebruik namen, maar verlaat het externe DNS-opzoekmechanisme. Je raadt het goed, dit is een terugval op de pre-DNS met dedicated DNS-servers. Toen was er op elke machine op het netwerk gastheren een bestand met informatie over de bijbehorende namen en IP-adressen van alle hosts op het netwerk. Het is duidelijk dat vandaag de dag de beheerder in een dergelijk bestand informatie kan invoeren over alleen de meest bezochte netwerkservers door gebruikers van dit segment. Daarom is het gebruik van deze oplossing in de praktijk uiterst moeilijk en blijkbaar onrealistisch (wat te doen met bijvoorbeeld browsers die URL's met namen gebruiken?).

Om de implementatie van deze aanval op afstand te compliceren, kun je voorstellen dat beheerders TCP gebruiken voor de DNS-service in plaats van UDP, dat standaard is geïnstalleerd (hoewel het verre van duidelijk is uit de documentatie hoe dit te veranderen). Dit maakt het voor een aanvaller veel moeilijker om een ​​nep DNS-antwoord naar de host te sturen zonder het DNS-verzoek te accepteren.

De algemene teleurstellende conclusie is deze: op internet, bij gebruik het bestaan DNS-serviceversies bestaat niet een acceptabele oplossing om te beschermen tegen een valse DNS-server (en je zult niet weigeren, zoals het geval is bij ARP, en het is gevaarlijk om te gebruiken)!

b) Hoe kan een DNS-serverbeheerder zich beschermen tegen een vervalste DNS-server?

Als het antwoord op deze vraag kort is, nogmaals, op geen enkele manier. De enige manier om deze aanval op afstand moeilijker te maken, is door alleen TCP te gebruiken, niet UDP, om te communiceren met hosts en andere DNS-servers. Dit zal de aanval echter alleen maar moeilijker maken - vergeet zowel de mogelijke onderschepping van het DNS-verzoek als de mogelijkheid van wiskundige voorspelling van de initiële waarde van de TCP ISN-identificatie niet.

Kortom, we kunnen het hele internet aanbevelen om snel over te stappen op een nieuwe, veiligere versie van de DNS-service, of om een ​​enkele standaard voor een veilig protocol in te voeren. Het is absoluut noodzakelijk om deze overstap te maken, ondanks alle enorme kosten, anders kan het internet eenvoudig op de knieën worden gebracht voor de steeds groter wordende succesvolle pogingen om de beveiliging met deze service te doorbreken!

3.1.4 Hoe zich te beschermen tegen valse route-impositie bij gebruik van ICMP?

De aanval, die bestond uit het sturen van een vals ICMP Redirect-bericht naar de host over het wijzigen van de oorspronkelijke route, leidde zowel tot onderschepping van informatie door de aanvallers als tot een storing van de aangevallen host. Om je te verdedigen tegen deze aanval op afstand, is het nodig om dit bericht te filteren (met behulp van een firewall of een filterrouter), om te voorkomen dat het het eindsysteem bereikt, of om het netwerk-besturingssysteem te selecteren dat dit bericht negeert. Er is echter meestal geen administratieve manier om het netwerkbesturingssysteem te beïnvloeden om te voorkomen dat het de route wijzigt en op dit bericht reageert. De enige manier, bijvoorbeeld in het geval van Linux of FreeBSD OS, is om de bronnen te wijzigen en de OS-kernel opnieuw te compileren. Het is duidelijk dat zo'n exotische manier voor velen alleen mogelijk is voor besturingssystemen die vrij worden verspreid samen met de broncode. Meestal is er in de praktijk geen andere manier om erachter te komen hoe uw besturingssysteem reageert op een ICMP Redirect-bericht, hoe u dit bericht kunt verzenden en wat het resultaat zal zijn. Experimenten hebben aangetoond dat u met dit bericht de routering kunt wijzigen op Linux 1.2.8, Windows "95 en Windows NT 4.0. Opgemerkt moet worden dat Microsoft-producten niet bijzonder beschermd zijn tegen mogelijke aanvallen op afstand die inherent zijn aan IP-netwerken. Gebruik daarom deze besturingssystemen in het beveiligde segment van het IP-netwerk lijkt onwenselijk, en dit zal de administratieve beslissing zijn om het segment van het netwerk te beschermen tegen deze aanval op afstand.

3.1.5 Hoe beschermen tegen denial of service?

Er is geen en kan geen acceptabele manier zijn om te beschermen tegen denial of service in de bestaande IPv4-standaard van internet. Dit komt doordat het in deze standaard onmogelijk is om de route van berichten te controleren. Daarom is het onmogelijk om betrouwbare controle over netwerkverbindingen te garanderen, aangezien een subject van netwerkinteractie de mogelijkheid heeft om een ​​onbeperkt aantal communicatiekanalen te bezetten met een object op afstand en tegelijkertijd anoniem te blijven. Hierdoor kan elke server op internet volledig worden verlamd met een aanval op afstand.

Het enige dat kan worden voorgesteld om de betrouwbaarheid van het aan deze aanval onderworpen systeem te verbeteren, is door zo krachtig mogelijke computers te gebruiken. Hoe hoger het aantal en de frequentie van de processors, hoe groter de hoeveelheid RAM, hoe betrouwbaarder het netwerkbesturingssysteem zal zijn wanneer het wordt getroffen door een gerichte "storm" van valse verbindingsverzoeken. Bovendien moet u besturingssystemen gebruiken die geschikt zijn voor uw verwerkingskracht, met een interne wachtrij die een groot aantal verbindingsverzoeken kan verwerken. Immers, uit het feit dat u bijvoorbeeld op een supercomputer het besturingssysteem Linux of Windows NT plaatst, waarvan de wachtrijlengte voor gelijktijdig verwerkte verzoeken ongeveer 10 is, en de time-out voor het wissen van de wachtrij enkele minuten is, dan, ondanks alle Door de rekenkracht van de computer wordt het besturingssysteem volledig lamgelegd door de aanvaller.

3.1.6 Hoe te beschermen tegen spoofing van een van de partijen bij interactie met behulp van de basisprotocollen van de TCP / IP-familie

Zoals eerder opgemerkt, de enige basis het protocol van de TCP / IP-familie, dat in eerste instantie zorgt voor de beveiliging van de verbinding en zijn abonnees, is het transportlaagprotocol - het TCP-protocol. Wat betreft de basisprotocollen op applicatieniveau: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, geen van deze biedt extra bescherming voor de verbinding op zijn eigen niveau en laat de oplossing van alle problemen met het beveiligen van de verbinding over aan het protocol van een lagere transportlaag - TCP. Echter, herinnerend aan de mogelijke aanvallen op de TCP-verbinding, besproken in Paragraaf 4.5, waar werd opgemerkt dat wanneer een aanvaller zich in hetzelfde segment bevindt met het oog op een aanval, het in principe onmogelijk is zich te verdedigen tegen spoofing van een van de TCP-verbindingen abonnees, segmenten, vanwege de mogelijkheid van wiskundige voorspelling van de identificatie van de TCP-verbinding ISN, is het ook mogelijk om een ​​van de abonnees te vervangen, het is gemakkelijk te concluderen dat bij gebruik van de basisprotocollen van de TCP / IP-familie, het is bijna onmogelijk om de veiligheid van de verbinding te garanderen! Dit komt door het feit dat helaas alle basisprotocollen van internet vanuit het oogpunt van informatiebeveiliging ongelooflijk verouderd zijn.

Het enige dat kan worden aanbevolen voor netwerkbeheerders om te beschermen alleen van cross-segment aanvallen op verbindingen - gebruik het TCP-protocol en netwerkbesturingssystemen als het "veilige" basisprotocol, waarbij de initiële waarde van de TCP-verbindingsidentificatie inderdaad willekeurig wordt gegenereerd (een goed pseudo-willekeurig generatie-algoritme wordt gebruikt in de laatste versies van FreeBSD OS).

3.2 Hardware- en softwaremethoden voor bescherming tegen aanvallen op internet op afstand

De software en hardware voor het waarborgen van informatiebeveiliging van communicatiefaciliteiten in computernetwerken omvatten:

· Hardware-encryptors van netwerkverkeer;

· Firewall techniek, geïmplementeerd op basis van software en hardware;

· Veilige netwerkcryptoprotocollen;

· Hardware- en software-analyseprogramma's voor netwerkverkeer;

· Beveiligde netwerkbesturingssystemen.

Er is een enorme hoeveelheid literatuur gewijd aan deze beveiligingshulpmiddelen die zijn ontworpen voor gebruik op internet (in de afgelopen twee jaar zijn er artikelen over dit onderwerp gevonden in bijna elke uitgave van elk computertijdschrift).

Verder beschrijven we, zo kort mogelijk, om bekende informatie niet voor iedereen te herhalen, deze beveiligingsmaatregelen die op internet worden gebruikt. Tegelijkertijd streven we de volgende doelen na: laten we eerst nog eens terugkeren naar de mythe van "absolute bescherming" die Firewall-systemen zouden bieden, blijkbaar dankzij de inspanningen van hun leveranciers; ten tweede zullen we de bestaande versies van de crypto-protocollen die op internet worden gebruikt vergelijken en een schatting geven, in feite, kritisch de situatie op dit gebied; en ten derde zullen we lezers vertrouwd maken met de mogelijkheid van bescherming met behulp van een netwerkbeveiligingsmonitor die is ontworpen om dynamisch situaties te bewaken die zich voordoen in een beschermd segment van een IP-netwerk, wat aangeeft dat een van de in hoofdstuk 4 beschreven aanvallen op afstand is uitgevoerd op dit segment.

3.2.1 Firewalltechniek als de belangrijkste hardware- en softwaretool voor het implementeren van netwerkbeveiligingsbeleid in een specifiek segment van het IP-netwerk

Over het algemeen implementeert de Firewall-techniek de volgende drie hoofdfuncties:

1. Filtering op meerdere niveaus van netwerkverkeer.

Filteren gebeurt meestal op drie OSI-lagen:

- netwerk (IP);

- vervoer (TCP, UDP);

- toegepast (FTP, TELNET, HTTP, SMTP, enz.).

Het filteren van netwerkverkeer is de belangrijkste functie van Firewall-systemen en stelt de netwerkbeveiligingsbeheerder in staat om centraal het noodzakelijke netwerkbeveiligingsbeleid te implementeren op een specifiek segment van het IP-netwerk, dat wil zeggen, door de Firewall dienovereenkomstig te configureren, kunt u gebruikers toegang verlenen of weigeren vanaf het externe netwerk naar de corresponderende hostservices of naar hosts die zich in het beschermde segment bevinden, en toegang van gebruikers van het interne netwerk tot de corresponderende bronnen van het externe netwerk. Het is mogelijk om een ​​analogie te trekken met de lokale beheerder van het besturingssysteem, die, om het beveiligingsbeleid in het systeem te implementeren, de nodige relaties toewijst tussen de onderwerpen (gebruikers) en de systeemobjecten (bijvoorbeeld bestanden), waardoor het mogelijk om de toegang van de systeemsubjecten tot zijn objecten te beperken in overeenstemming met de toegangsrechten die zijn opgegeven door de beheerder. ... Dezelfde redenering is van toepassing op Firewall-filtering: IP-adressen van gebruikershosts zullen fungeren als onderwerpen van interactie, en IP-adressen van hosts, gebruikte transportprotocollen en externe toegangsservices zullen worden gebruikt als objecten waartoe de toegang moet worden beperkt.

2. Proxy-schema met aanvullende identificatie en authenticatie van gebruikers op de Firewall-host.

Het proxy-schema maakt het ten eerste mogelijk om bij toegang tot een beveiligd firewall-netwerksegment aanvullende identificatie en authenticatie van een externe gebruiker uit te voeren en ten tweede vormt het de basis voor het creëren van privé-netwerken met virtuele IP-adressen. De betekenis van het proxy-schema is om een ​​verbinding tot stand te brengen met de uiteindelijke ontvanger via een tussenliggende proxyserver (proxy van Engels gezaghebbend) op de Firewall-host. Op deze proxyserver kan een aanvullende identificatie van de abonnee worden uitgevoerd.

3. Creatie van privénetwerken (Private Virtual Network - PVN) met "virtuele" IP-adressen (NAT - Network Address Translation).

In het geval dat de netwerkbeveiligingsbeheerder het gepast acht om de echte topologie van zijn interne IP-netwerk te verbergen, kan hem worden geadviseerd om Firewall-systemen te gebruiken om een ​​particulier netwerk (PVN-netwerk) te creëren. Hosts in de PVN krijgen "virtuele" IP-adressen toegewezen. Voor adressering naar het externe netwerk (via de Firewall) is het noodzakelijk om ofwel de hierboven beschreven proxyservers op de Firewall-host te gebruiken, ofwel speciale routeringssystemen (routing) te gebruiken, alleen via welke externe adressering mogelijk is. Dit komt doordat het virtuele IP-adres dat in het interne PVN-netwerk wordt gebruikt duidelijk niet geschikt is voor externe adressering (externe adressering is adressering aan abonnees buiten het PVN-netwerk). Daarom moet een proxyserver of routeringstool vanaf zijn echte IP-adres communiceren met abonnees van het externe netwerk. Overigens is dit schema handig als je een onvoldoende aantal IP-adressen hebt gekregen om een ​​IP-netwerk te creëren (in de IPv4-standaard gebeurt dit de hele tijd, dus om een ​​volwaardig IP-netwerk te creëren met behulp van een proxy-schema, slechts één speciaal IP-adres is voldoende (adressen voor de proxyserver).

Vergelijkbare documenten

Gegeneraliseerd model van het inbraakdetectieproces. Rechtvaardiging en selectie van bewaakte parameters en software voor de ontwikkeling van een aanvalsdetectiesysteem. Grote bedreigingen en kwetsbaarheden. Gebruik van een inbraakdetectiesysteem in geschakelde netwerken.

proefschrift, toegevoegd 21-06-2011


Computeraanvallen en technologieën voor de detectie ervan. Detectiesystemen voor netwerkaanvallen en firewalls. Software voor beveiligingsanalyse en bescherming tegen bedreigingen. Implementatie van softwaretools voor het detecteren van aanvallen voor een bedrijfsinformatiesysteem.

scriptie, toegevoegd 16-03-2015


Methoden voor het detecteren van aanvallen op netwerk- en systeemniveau. Administratieve beschermingsmethoden tegen verschillende soorten aanvallen op afstand. Meldingen hacken. Reactie na de invasie. Aanbevelingen voor het bewaren en controleren van informatie op internet.

scriptie, toegevoegd 01/01/2011


Classificatie van netwerkaanvallen op OSI-modelniveau, op type, op locatie van de aanvaller en het aangevallen object. Het probleem van de beveiliging van IP-netwerken. Bedreigingen en kwetsbaarheden van draadloze netwerken. Classificatie van systemen voor detectie van aanvallen IDS. XSpider-concept.

scriptie toegevoegd 11/04/2014


Methoden om netwerkaanvallen tegen te gaan. Algoritme van acties op netwerkniveau. Methoden voor het uitvoeren van wachtwoordaanvallen. Man-in-the-middle-aanvallen. Netwerkintelligentie, ongeautoriseerde toegang. Port forwarding. Virussen en Trojan Horse-toepassingen.

scriptie, toegevoegd 20-04-2015


Het beveiligingsprobleem van besturingssystemen. Functies van het beveiligingssubsysteem. Gebruikersidentificatie, softwarebedreigingen (aanvallen). Soorten netwerkaanvallen. Ontwikkeling levenscyclus van veilige softwareproducten. Beoordeling van software-aanvallen.

presentatie toegevoegd 24-01-2014


Manieren om neurale netwerktechnologieën te gebruiken in inbraakdetectiesystemen. Expertsystemen voor het detecteren van netwerkaanvallen. Kunstmatige netwerken, genetische algoritmen. Voor- en nadelen van inbraakdetectiesystemen op basis van neurale netwerken.

test, toegevoegd 30-11-2015


Gemak en mogelijkheden van het Snort-aanvalpreventiesysteem, soorten plug-ins: preprocessors, detectiemodules, uitvoermodules. Detectiemethoden en regelketens voor snurkaanvallen. Sleutelconcepten, hoe het werkt en ingebouwde acties van iptables.

test, toegevoegd 17/01/2015


Adaptief veiligheidsbeheerconcept. Beveiligingsanalysetools voor netwerkprotocollen en -services. Componenten en architectuur van IDS. Classificatie van inbraakdetectiesystemen. Zoek naar kwetsbaarheden in moderne IDS-systemen. Methoden om te reageren op aanvallen.

scriptie, toegevoegd 13-12-2011


Algemene kenmerken van informatietechnologieën en modellen van computernetwerkbedreigingen. Het bestuderen van de middelen om de netwerkperimeter te beschermen en een systeem te bouwen voor het actief afweren van aanvallen in bedrijfsnetwerken. Inbraakdetectie en automatisch verdedigingssysteem.

Er is nog steeds geen precieze definitie van de term "aanval" (invasie, aanval). Elke beveiligingsprofessional interpreteert het anders. Ik beschouw de volgende definitie als de meest correcte en volledige.

door aanval de opzettelijke handelingen van een indringer die misbruik maken van kwetsbaarheden van het informatiesysteem en leiden tot een schending van de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte informatie worden opgeroepen op een informatiesysteem.

Als we de kwetsbaarheden van het informatiesysteem wegnemen, elimineren we ook de mogelijkheid om aanvallen uit te voeren.

Het wordt momenteel als onbekend beschouwd hoeveel aanvalsmethoden er bestaan. Ze zeggen dat er nog steeds geen serieus wiskundig onderzoek is op dit gebied. Maar in 1996 beschreef Fred Cohen de wiskundige grondslagen van virale technologie. Dit werk bewees dat het aantal virussen oneindig is. Het is duidelijk dat het aantal aanvallen oneindig is, aangezien virussen een subset zijn van vele aanvallen.

Aanvalsmodellen

Traditioneel aanvalsmodel is gebouwd volgens het principe (Fig. 1) of (Fig. 2), d.w.z. de aanval komt uit een enkele bron. Ontwikkelaars van netwerkbeveiligingstools (firewalls, inbraakdetectiesystemen, enz.) richten zich op het traditionele aanvalsmodel. Op verschillende punten van het beveiligde netwerk zijn agents (sensoren) van het beveiligingssysteem geïnstalleerd, die informatie doorgeven aan de centrale beheerconsole. Dit maakt het eenvoudiger om het systeem te schalen, eenvoudig beheer op afstand te bieden, enz. Dit model is echter niet bestand tegen de relatief recent (in 1998) gedetecteerde dreigingen: gedistribueerde aanvallen.
Figuur 1. Een-op-een relatie

Het gedistribueerde aanvalsmodel maakt gebruik van verschillende principes. In tegenstelling tot het traditionele model in een gedistribueerd model relaties (Fig. 3) en (Fig. 4) worden gebruikt.

Gedistribueerde aanvallen zijn gebaseerd op de "klassieke" denial-of-service-aanvallen, meer specifiek een subset ervan die bekend staat als Overstromingsaanvallen of Storm aanvallen(deze termen kunnen worden vertaald als "storm", "vloed" of "lawine"). De bedoeling van deze aanvallen is om een ​​groot aantal pakketten naar de aangevallen host te sturen. Het aangevallen knooppunt kan falen, omdat het "verdrinkt" in de lawine van verzonden pakketten en de verzoeken van geautoriseerde gebruikers niet kan verwerken. Dit is hoe SYN-Flood, Smurf, UDP Flood, Targa3, etc. aanvallen werken. Als de bandbreedte van het kanaal naar de aangevallen node echter groter is dan de bandbreedte van de aanvaller of als de aangevallen node verkeerd is geconfigureerd, zal een dergelijke aanval niet tot "succes" leiden. Deze aanvallen zijn bijvoorbeeld nutteloos om te proberen uw ISP te verstoren. Maar een gedistribueerde aanval vindt niet langer plaats vanaf één punt op internet, maar vanaf meerdere tegelijk, wat leidt tot een sterke toename van het verkeer en het uitschakelen van de aangevallen host. Volgens Russia-Online werd bijvoorbeeld binnen twee dagen, beginnend op 28 december 2000 om 09.00 uur, de grootste internetprovider van Armenië, "Arminco", onderworpen aan een verspreide aanval. In dit geval namen meer dan 50 machines uit verschillende landen deel aan de aanval en stuurden nietszeggende berichten naar het "Arminco"-adres. Het was niet vast te stellen wie deze aanval organiseerde en in welk land de hacker zich bevond. Hoewel het voornamelijk "Arminko" was dat werd aangevallen, was de hele snelweg die Armenië met het World Wide Web verbindt overbelast. Op 30 december werd dankzij de medewerking van "Arminco" en een andere provider - "ArmenTel" - de verbinding volledig hersteld. Desondanks ging de computeraanval door, maar met minder intensiteit.

Stadia van aanvallen

De volgende stadia van aanvalsimplementatie kunnen worden onderscheiden:

Als ze het over een aanval hebben, bedoelen ze meestal precies de tweede fase, waarbij ze de eerste en de laatste vergeten. Het verzamelen van informatie en het voltooien van een aanval ("de sporen bedekken") kan op zijn beurt ook een aanval zijn en kan in drie fasen worden verdeeld (zie figuur 5).
Figuur 5. Stadia van een aanval

Het verzamelen van informatie is de belangrijkste fase bij de uitvoering van een aanval. In dit stadium is de effectiviteit van het werk van de aanvaller de sleutel tot het 'succes' van de aanval. Eerst wordt het doelwit van de aanval geselecteerd en wordt er informatie over verzameld (type en versie van het besturingssysteem, open poorten en actieve netwerkdiensten, geïnstalleerde systeem- en applicatiesoftware en de configuratie ervan, enz.). Vervolgens worden de meest kwetsbare punten van het aangevallen systeem geïdentificeerd, waarvan de impact leidt tot het gewenste resultaat voor de aanvaller. De aanvaller probeert alle communicatiekanalen van het aanvalsdoel met andere hosts te identificeren. Hierdoor kan niet alleen het type aanval worden gekozen, maar ook de bron van de implementatie. De aangevallen host communiceert bijvoorbeeld met twee servers waarop Unix en Windows NT draaien. Het aangevallen knooppunt heeft een vertrouwde relatie met de ene server, maar niet met de andere. De server waarmee de aanvaller de aanval uitvoert, bepaalt welke aanval zal worden gebruikt, welke implementatiemethode wordt gekozen, enzovoort. Vervolgens wordt, afhankelijk van de ontvangen informatie en het gewenste resultaat, de aanval gekozen die het meeste effect geeft. Bijvoorbeeld:
SYN Flood, Teardrop, UDP Bomb - om de werking van het knooppunt te verstoren;
CGI-script - om de site binnen te dringen en informatie te stelen;
PHF - voor het stelen van een wachtwoordbestand en het raden van wachtwoorden op afstand, enz.

Traditionele verdedigingen, zoals firewalls of filtermechanismen in routers, treden pas in werking in de tweede fase van een aanval, waarbij de eerste en derde fase volledig worden "vergeten". Dit leidt ertoe dat de aanval vaak erg moeilijk te stoppen is, zelfs met de aanwezigheid van krachtige en dure verdedigingsmiddelen. Een voorbeeld hiervan zijn gedistribueerde aanvallen. Het zou logisch zijn dat de beschermingsmiddelen in de eerste fase, d.w.z. de mogelijkheid om informatie over het aangevallen systeem te verzamelen, zou voorkomen. Dit zou het mogelijk maken, zo niet volledig om de aanval te voorkomen, dan in ieder geval het werk van de aanvaller aanzienlijk compliceren. Traditionele middelen laten ook niet toe om reeds gepleegde aanvallen te detecteren en de schade te beoordelen na hun implementatie, d.w.z. werken niet in de derde fase van de aanval. Daarom is het onmogelijk om maatregelen te definiëren om dergelijke aanvallen in de toekomst te voorkomen.

Afhankelijk van het gewenste resultaat concentreert de indringer zich op een of ander stadium van de aanval. Bijvoorbeeld:
voor denial of service wordt het aangevallen netwerk in detail geanalyseerd, mazen en zwakke punten daarin gezocht;
om informatie te stelen, ligt de focus op onzichtbare penetratie van de aangevallen knooppunten met behulp van eerder ontdekte kwetsbaarheden.

Laten we eens kijken naar de belangrijkste mechanismen voor het implementeren van aanvallen. Dit is nodig om te begrijpen hoe deze aanvallen kunnen worden gedetecteerd. Bovendien is het begrijpen van de principes van de acties van aanvallers de sleutel tot succesvolle netwerkverdediging.

1. Informatie verzamelen

De eerste fase in de uitvoering van aanvallen is het verzamelen van informatie over het aangevallen systeem of de aangevallen host. Het omvat acties zoals het bepalen van de netwerktopologie, het type en de versie van het besturingssysteem van het aangevallen knooppunt, evenals het beschikbare netwerk en andere services, enz. Deze acties worden op verschillende manieren uitgevoerd.

De omgeving verkennen

In dit stadium verkent de aanvaller de netwerkomgeving rond het beoogde doelwit van de aanval. Dergelijke gebieden zijn bijvoorbeeld de locaties van de ISP van het 'slachtoffer' of locaties van het externe kantoor van het aangevallen bedrijf. In dit stadium kan een aanvaller proberen de adressen te achterhalen van "vertrouwde" systemen (bijvoorbeeld het netwerk van de partner) en knooppunten die direct zijn verbonden met het doel van de aanval (bijvoorbeeld een ISP-router), enz. Dergelijke acties zijn vrij moeilijk te detecteren, omdat ze worden uitgevoerd over een voldoende lange periode en buiten het gebied dat wordt gecontroleerd door de beveiligingsmiddelen (firewalls, inbraakdetectiesystemen, enz.).

Identificatie van netwerktopologie

Er zijn twee hoofdmethoden die door aanvallers worden gebruikt om de netwerktopologie te bepalen:

1. TTL (TTL-modulatie) wijzigen,
2. traject opnemen.

De eerste methode wordt gebruikt door traceroute voor Unix en tracert voor Windows. Ze gebruiken het veld Time to Live in de kop van het IP-pakket, dat varieert afhankelijk van het aantal routers waar het pakket doorheen is gegaan. Het ping-hulpprogramma kan worden gebruikt om de route van het ICMP-pakket vast te leggen. Netwerktopologie kan vaak worden getraceerd met behulp van SNMP, dat is geïnstalleerd op veel netwerkapparaten die niet correct zijn geconfigureerd voor beveiliging. Met RIP kunt u proberen informatie te krijgen over de routeringstabel in het netwerk, enz.

Veel van deze methoden worden gebruikt door moderne beheersystemen (bijv. HP OpenView, Cabletron SPECTRUM, MS Visio, enz.) om netwerkkaarten te bouwen. En dezelfde methoden kunnen met succes worden toegepast door indringers om een ​​kaart van het aangevallen netwerk te bouwen.

Knooppunten identificeren

Hostidentificatie wordt meestal bereikt door het ICMP ECHO_REQUEST-commando te verzenden met behulp van het ping-hulpprogramma. Het ECHO_REPLY-antwoordbericht geeft aan dat het knooppunt beschikbaar is. Er zijn freeware-programma's die het proces van het parallel identificeren van grote aantallen nodes automatiseren en versnellen, zoals fping of nmap. Het gevaar van deze methode is dat de ECHO_REQUEST-verzoeken niet worden geregistreerd door de standaardmiddelen van het knooppunt. Dit vereist het gebruik van verkeersanalysetools, firewalls of inbraakdetectiesystemen.

Dit is de eenvoudigste methode om knooppunten te identificeren. Het heeft echter twee nadelen.

1. Veel netwerkapparaten en programma's blokkeren ICMP-pakketten en laten ze het interne netwerk niet binnen (of omgekeerd, laat ze niet naar buiten). MS Proxy Server 2.0 staat bijvoorbeeld niet toe dat pakketten het ICMP-protocol passeren. Het resultaat is een onvolledig beeld. Aan de andere kant vertelt het blokkeren van een ICMP-pakket de aanvaller dat er een "eerste verdedigingslinie" is - routers, firewalls, enz.
2. Het gebruik van ICMP-verzoeken maakt het gemakkelijk om hun bron te vinden, wat natuurlijk niet de taak van een aanvaller kan zijn.

Er is een andere methode om knooppunten te identificeren - met behulp van de "gemengde" modus van de netwerkkaart, waarmee u verschillende knooppunten op een netwerksegment kunt identificeren. Maar het is niet van toepassing in gevallen waarin het verkeer van het netwerksegment niet beschikbaar is voor de aanvaller vanaf zijn eigen knooppunt, d.w.z. deze methode is alleen van toepassing op lokale netwerken. Een andere methode om knooppunten op een netwerk te identificeren, wordt DNS-verkenning genoemd, waarmee u knooppunten op een bedrijfsnetwerk kunt identificeren door een naamserviceserver aan te roepen.

Service-identificatie of poortscanning

Service-identificatie wordt meestal gedaan door poortscanning. Deze poorten worden vaak geassocieerd met services op basis van de TCP- of UDP-protocollen. Bijvoorbeeld:

• open poort 80 impliceert de aanwezigheid van een webserver,
• 25e poort - mail SMTP-server,
• 31337th - de serverkant van het Trojaanse paard BackOrifice,
• 12345th of 12346th - de serverkant van het NetBus Trojaanse paard, enz.

Verschillende programma's kunnen worden gebruikt om services te identificeren en poorten te scannen, incl. en vrij herverdeelbaar. Bijvoorbeeld nmap of netcat.

Identificatie van het besturingssysteem

Het belangrijkste mechanisme voor detectie van besturingssystemen op afstand is de analyse van antwoorden op vragen, waarbij rekening wordt gehouden met verschillende implementaties van de TCP/IP-stack in verschillende besturingssystemen. Elk besturingssysteem heeft zijn eigen implementatie van de TCP / IP-protocolstack, waarmee speciale verzoeken en antwoorden kunnen worden gebruikt om te bepalen welk besturingssysteem op de externe host is geïnstalleerd.

Een andere, minder efficiënte en uiterst beperkte manier om het besturingssysteem van de knooppunten te identificeren, is door de netwerkdiensten te analyseren die in de vorige fase zijn ontdekt. Met een open poort 139 kunnen we bijvoorbeeld concluderen dat de externe host hoogstwaarschijnlijk een Windows-besturingssysteem gebruikt. Er kunnen verschillende programma's worden gebruikt om het besturingssysteem te bepalen. Bijvoorbeeld nmap of queso.

De rol van een knoop definiëren

De voorlaatste stap in het stadium van het verzamelen van informatie over de aangevallen host is het bepalen van zijn rol, bijvoorbeeld het uitvoeren van de functies van een firewall of webserver. Deze stap wordt uitgevoerd op basis van de informatie die al is verzameld over actieve services, hostnamen, netwerktopologie, enz. Een open poort 80 kan bijvoorbeeld wijzen op een webserver, het blokkeren van een ICMP-pakket duidt op een mogelijke firewall en de DNS-hostnaam proxy.domain.ru of fw.domain.ru spreekt voor zich.

Kwetsbaarheden van de host identificeren

De laatste stap is het zoeken naar kwetsbaarheden. Bij deze stap gebruikt een aanvaller verschillende geautomatiseerde tools of identificeert hij handmatig kwetsbaarheden die kunnen worden misbruikt om een ​​aanval uit te voeren. Dergelijke geautomatiseerde tools kunnen ShadowSecurityScanner, nmap, Retina, enz. zijn.

2. Uitvoering van de aanval

Vanaf dit moment begint een poging om toegang te krijgen tot het aangevallen knooppunt. In dit geval kan de toegang zowel direct zijn, d.w.z. penetratie van het knooppunt, en indirect, bijvoorbeeld bij het implementeren van een denial of service-aanval. Het uitvoeren van aanvallen bij directe toegang kan ook in twee fasen worden verdeeld:

• penetratie;
• totstandkoming van controle.

penetratie

Penetratie omvat het overwinnen van perimeterverdediging (zoals een firewall). Dit kan op verschillende manieren worden uitgevoerd. Bijvoorbeeld door misbruik te maken van een kwetsbaarheid in een computerservice die naar buiten "kijkt" of door vijandige inhoud te verzenden via e-mail (macrovirussen) of Java-applets. Dergelijke inhoud kan gebruikmaken van zogenaamde "tunnels" in de firewall (niet te verwarren met VPN-tunnels), waar een aanvaller vervolgens doorheen dringt. Dezelfde fase kan worden toegeschreven aan de selectie van een beheerderswachtwoord of een andere gebruiker met behulp van een gespecialiseerd hulpprogramma (bijvoorbeeld L0phtCrack of Crack).

Controle tot stand brengen

Na penetratie neemt de aanvaller de controle over het aangevallen knooppunt. Dit kan worden bereikt door een Trojaans paard-programma te implementeren (zoals NetBus of BackOrifice). Nadat de aanvaller de controle over het gewenste knooppunt heeft verkregen en de sporen heeft "verdoezeld", kan de aanvaller alle noodzakelijke ongeautoriseerde acties op afstand uitvoeren zonder medeweten van de eigenaar van de aangevallen computer. Tegelijkertijd moet de controle over een knooppunt van het bedrijfsnetwerk behouden blijven, zelfs nadat het besturingssysteem opnieuw is opgestart. Dit kan worden bereikt door een van de opstartbestanden te vervangen of door een link naar de vijandige code in de opstartbestanden of het systeemregister te plakken. Er is een geval bekend waarbij een aanvaller de EEPROM van een netwerkkaart kon herprogrammeren en zelfs na het opnieuw installeren van het besturingssysteem, ongeoorloofde acties opnieuw kon uitvoeren. Een eenvoudigere wijziging van dit voorbeeld is om de vereiste code of snippet in een netwerkopstartscript te injecteren (bijvoorbeeld voor Novell Netware).

Doeleinden van de aanvalsimplementatie

Het stadium van voltooiing van de aanval is het "verdekken van de sporen" van de aanvaller. Dit wordt meestal bereikt door relevante vermeldingen uit de hostlogboeken en andere acties te verwijderen die het aangevallen systeem terugbrengen naar de oorspronkelijke, "vooraf aangevallen" staat.

Aanval classificatie

Er zijn verschillende soorten aanvalsclassificaties. Bijvoorbeeld de indeling in passief en actief, extern en intern, opzettelijk en onopzettelijk. Om u echter niet te verwarren met een grote verscheidenheid aan classificaties die in de praktijk niet erg toepasbaar zijn, stel ik een meer "vitale" classificatie voor:

1. penetratie op afstand... Aanvallen waarmee een computer op afstand via een netwerk kan worden bestuurd. Bijvoorbeeld NetBus of BackOrifice.
2. Lokale penetratie... Een aanval die leidt tot het verkrijgen van ongeautoriseerde toegang tot de host waarop deze wordt gelanceerd. Bijvoorbeeld GetAdmin.
3. Denial of service op afstand... Aanvallen die een computer via internet verstoren of overbelasten. Bijvoorbeeld Teardrop of trin00.
4. Lokale denial of service... Aanvallen die de computer waarop ze worden uitgevoerd verstoren of overbelasten. Een voorbeeld van zo'n aanval is een "vijandige" applet die de CPU in een oneindige lus laadt, waardoor het onmogelijk wordt om verzoeken van andere applicaties te verwerken.
5. Netwerkscanners... Programma's die de topologie van een netwerk analyseren en services ontdekken die beschikbaar zijn voor aanvallen. Bijvoorbeeld het nmap-systeem.
6. Kwetsbaarheidsscanners... Programma's die zoeken naar kwetsbaarheden op netwerkknooppunten en die kunnen worden gebruikt om aanvallen uit te voeren. Bijvoorbeeld SATAN-systeem of ShadowSecurityScanner.
7. Wachtwoordcrackers... Programma's die gebruikerswachtwoorden "raden". Bijvoorbeeld L0phtCrack voor Windows of Crack voor Unix.
8. Protocolanalysatoren (sniffers)... Programma's die "luisteren" naar netwerkverkeer. Deze programma's kunnen automatisch zoeken naar informatie zoals gebruikers-ID's en wachtwoorden, creditcardgegevens en meer. Bijvoorbeeld Microsoft Network Monitor, NetXRay van Network Associates of LanExplorer.

Internetbeveiligingssystemen, Inc. het aantal mogelijke categorieën verder verminderd, waardoor ze op 5:

1. Informatie verzamelen.
2. Ongeautoriseerde toegangspogingen.
3. Dienstweigering.
4. Verdachte activiteit.
5. Systeem aanval.

De eerste 4 categorieën hebben betrekking op aanvallen op afstand en de laatste op lokale aanvallen, uitgevoerd op de aangevallen host. Opgemerkt kan worden dat deze classificatie geen hele klasse van zogenaamde "passieve" aanvallen omvat ("luisterverkeer", "nep-DNS-server", "ARP-serverspoofing", enz.).

De classificatie van aanvallen die in veel inbraakdetectiesystemen zijn geïmplementeerd, kan niet categorisch zijn. Een aanval waarvan de implementatie op een Unix-besturingssysteem (bijvoorbeeld een statd-bufferoverloop) bijvoorbeeld de meest ernstige gevolgen kan hebben (hoogste prioriteit), is mogelijk helemaal niet toepasbaar op het Windows NT-besturingssysteem of heeft een zeer lage graad. van risico. Daarnaast is er verwarring in de namen van aanvallen en kwetsbaarheden. Dezelfde aanval kan verschillende namen hebben voor verschillende leveranciers van inbraakdetectiesystemen.

Een van de beste databases voor kwetsbaarheden en aanvallen is de X-Force-database op http://xforce.iss.net/. U kunt er toegang toe krijgen door u te abonneren op de gratis X-Force Alert-mailinglijst of door interactief te zoeken in de database op de ISS-webserver.

Gevolgtrekking

Zonder kwetsbaarheden in de componenten van informatiesystemen zou het onmogelijk zijn om veel aanvallen uit te voeren en daarom zouden traditionele beveiligingssystemen behoorlijk effectief zijn in het omgaan met mogelijke aanvallen. Programma's worden echter geschreven door mensen die fouten maken. Hierdoor ontstaan ​​kwetsbaarheden die door cybercriminelen worden gebruikt om aanvallen uit te voeren. Dit is echter slechts de helft van de moeite. Als alle aanvallen één-op-één zouden worden gebouwd, zou het een hele klus zijn, maar firewalls en andere verdedigingssystemen zouden ze ook kunnen weerstaan. Maar er zijn gecoördineerde aanvallen ontstaan, waartegen traditionele middelen niet meer zo effectief zijn. En dan verschijnen er nieuwe technologieën op het toneel: technologieën voor het detecteren van aanvallen. De bovenstaande systematisering van gegevens over aanvallen en de stadia van hun implementatie biedt de noodzakelijke basis voor het begrijpen van technologieën voor het detecteren van aanvallen.

Detectietools voor computeraanvallen

Aanvaldetectietechnologie zou de volgende taken moeten oplossen:

• Herkenning van bekende aanvallen en waarschuwing van geschikt personeel hierover.
• De vaak onbegrijpelijke informatiebronnen over aanvallen "begrijpen".
• Ontlast of verminder de last voor beveiligingspersoneel van de routinematige activiteiten van het bewaken van gebruikers, systemen en netwerken die onderdelen zijn van het bedrijfsnetwerk.
• De mogelijkheid om beveiligingen te beheren door niet-beveiligingsexperts.
• Controle van alle acties van de onderwerpen van het bedrijfsnetwerk (gebruikers, programma's, processen, enz.).

Vaak inbraakdetectiesystemen kunnen functies uitvoeren die het bereik van hun toepassing aanzienlijk uitbreiden. Bijvoorbeeld,

• Monitoring van de effectiviteit van firewalls. Bijvoorbeeld het installeren van een inbraakdetectiesysteem na: firewall(binnen het bedrijfsnetwerk) stelt u in staat aanvallen te detecteren waar de ITU doorheen gaat en zo ontbrekende regels op de firewall te identificeren.
• Beheer van hosts met niet-geïnstalleerde updates of hosts met verouderde software.
• Toegang tot bepaalde internetsites blokkeren en controleren. Hoewel inbraakdetectiesystemen verre van firewalls en toegangscontrolesystemen zijn voor verschillende URL's, bijvoorbeeld WEBsweeper, kunnen ze de toegang van sommige gebruikers van het bedrijfsnetwerk tot bepaalde internetbronnen, bijvoorbeeld tot webservers met pornografische inhoud, gedeeltelijk controleren en blokkeren. Dit is nodig wanneer de organisatie niet het geld heeft om zowel een firewall als een inbraakdetectiesysteem aan te schaffen en de ITU-functies worden verdeeld tussen het inbraakdetectiesysteem, een router en een proxyserver. Bovendien kunnen inbraakdetectiesystemen de toegang van werknemers tot servers bewaken op basis van trefwoorden. Bijvoorbeeld seks, baan, crack, etc.
• E-mail controle. Inbraakdetectiesystemen kunnen worden gebruikt om onbetrouwbare werknemers te monitoren die e-mail gebruiken om taken uit te voeren die buiten hun functionele verantwoordelijkheden vallen, zoals het verzenden van cv's. Sommige systemen kunnen virussen in e-mailberichten detecteren en hoewel ze verre van echte antivirussystemen zijn, voeren ze deze taak toch behoorlijk efficiënt uit.

Het beste gebruik van de tijd en expertise van infis om de hoofdoorzaak van een aanval te identificeren en aan te pakken, in plaats van de aanval zelf. Door de oorzaken van aanvallen weg te nemen, d.w.z. Nadat de beheerder kwetsbaarheden heeft ontdekt en geëlimineerd, elimineert hij daarmee het feit van potentiële aanvallen. Anders zal de aanval keer op keer worden herhaald en voortdurend de inspanningen en aandacht van de beheerder vragen.

Classificatie van inbraakdetectiesystemen

Er zijn veel verschillende classificaties van inbraakdetectiesystemen, maar de meest voorkomende classificatie is gebaseerd op het implementatieprincipe:

1. host-gebaseerd, dat wil zeggen, het detecteren van aanvallen gericht op een specifiek netwerkknooppunt,
2. netwerkgebaseerd, dat wil zeggen, het detecteren van aanvallen die gericht zijn op het hele netwerk of netwerksegment.

Inbraakdetectiesystemen die een enkele computer bewaken, verzamelen en analyseren in de regel informatie uit de logboeken van het besturingssysteem en verschillende toepassingen (webserver, DBMS, enz.). Dit is hoe de RealSecure OS Sensor werkt. Onlangs zijn echter systemen die nauw geïntegreerd zijn met de OS-kernel zich gaan verspreiden, wat een efficiëntere manier biedt om schendingen van het beveiligingsbeleid te detecteren. Bovendien kan deze integratie op twee manieren worden gerealiseerd. Ten eerste kunnen alle OS-systeemaanroepen worden gevolgd (zo werkt Entercept) of al het inkomende / uitgaande netwerkverkeer (zo werkt RealSecure Server Sensor). In het laatste geval vangt het inbraakdetectiesysteem al het netwerkverkeer rechtstreeks van de netwerkkaart op, waarbij het besturingssysteem wordt omzeild, waardoor de afhankelijkheid ervan wordt verminderd en de beveiliging van het inbraakdetectiesysteem wordt verhoogd.

Inbraakdetectiesystemen voor netwerklagen informatie verzamelen van het netwerk zelf, dat wil zeggen van netwerkverkeer. Deze systemen kunnen draaien op gewone computers (bijvoorbeeld RealSecure Network Sensor), op gespecialiseerde computers (bijvoorbeeld RealSecure voor Nokia of Cisco Secure IDS 4210 en 4230), of geïntegreerd in routers of switches (bijvoorbeeld CiscoSecure IOS Integrated Software of Cisco Catalyst 6000 IDS-module). In de eerste twee gevallen wordt de geanalyseerde informatie verzameld door het vastleggen en analyseren van pakketten met behulp van netwerkinterfaces in een promiscue modus. In het laatste geval wordt het verkeer opgevangen vanaf de bus van de netwerkapparatuur.

Detectie van aanvallen vereist de vervulling van een van de twee voorwaarden: ofwel inzicht in het verwachte gedrag van het bewaakte object van het systeem of kennis van alle mogelijke aanvallen en hun wijzigingen. In het eerste geval wordt gebruik gemaakt van technologie voor het detecteren van afwijkend gedrag en in het tweede geval van technologie voor het detecteren van kwaadaardig gedrag of misbruik. De tweede techniek is om een ​​aanval te beschrijven in de vorm van een patroon of handtekening en naar dit patroon te zoeken in een gecontroleerde ruimte (bijvoorbeeld netwerkverkeer of logs). Deze technologie lijkt sterk op virusdetectie (antivirussystemen zijn een goed voorbeeld van een inbraakdetectiesysteem), d.w.z. het systeem kan alle bekende aanvallen detecteren, maar is niet goed geschikt voor het detecteren van nieuwe, nog onbekende, aanvallen. De aanpak die in dergelijke systemen wordt geïmplementeerd, is heel eenvoudig en daarop zijn vrijwel alle op de markt aangeboden aanvalsdetectiesystemen gebaseerd.

Bijna alle inbraakdetectiesystemen zijn gebaseerd op de handtekeningbenadering.

Voordelen van inbraakdetectiesystemen

De verschillende voordelen van host- en netwerkinbraakdetectiesystemen kunnen lang worden opgesomd. Ik zal me echter op slechts enkele daarvan concentreren.

Door te switchen kunnen grootschalige netwerken worden beheerd als meerdere kleine netwerksegmenten. Als gevolg hiervan kan het moeilijk zijn om de beste plaats te bepalen om een ​​systeem te installeren dat aanvallen in het netwerkverkeer detecteert. Span-poorten op switches kunnen soms helpen, maar niet altijd. Site-specifieke aanvalsdetectie zorgt voor een efficiëntere werking in geschakelde netwerken, omdat u detectiesystemen alleen kunt plaatsen op die sites waar dit nodig is.

Netwerklaagsystemen vereisen niet dat inbraakdetectiesoftware op elke host wordt geïnstalleerd. Aangezien het aantal sites waarop IDS is geïnstalleerd om het hele netwerk te bewaken klein is, zijn de kosten om ze op het bedrijfsnetwerk te gebruiken lager dan de kosten van het gebruik van inbraakdetectiesystemen op systeemniveau. Bovendien is er slechts één sensor nodig om een ​​netwerksegment te bewaken, ongeacht het aantal nodes in dat segment.

Het netwerkpakket, dat de computer van de aanvaller heeft verlaten, kan niet meer worden teruggestuurd. Systemen die op de netwerklaag werken, gebruiken live verkeer om aanvallen in realtime te detecteren. Een aanvaller kan dus geen sporen van zijn ongeoorloofde activiteit verwijderen. De geanalyseerde gegevens bevatten niet alleen informatie over de aanvalsmethode, maar ook informatie die kan helpen bij het identificeren van de aanvaller en het bewijzen hiervan in de rechtszaal. Omdat veel hackers bekend zijn met de systeemregistratiemechanismen, weten ze hoe ze deze bestanden moeten manipuleren om hun sporen te verbergen, wat de efficiëntie vermindert van de systemen op systeemniveau die deze informatie nodig hebben om een ​​aanval te detecteren.

Systemen die op netwerkniveau werken, detecteren verdachte gebeurtenissen en aanvallen zodra ze zich voordoen, en bieden daarom veel snellere meldingen en reacties dan systemen die de logbestanden analyseren. Een hacker die bijvoorbeeld een op TCP gebaseerde denial-of-service-aanval initieert, kan worden tegengehouden door het Network Layer Intrusion Detection System dat een TCP-pakket verzendt met de Reset-header ingesteld om de verbinding met de aanvallende host te beëindigen voordat de aanval verstoring of schade veroorzaakt. naar de aangevallen knoop. Log-analysesystemen herkennen aanvallen pas nadat ze zijn vastgelegd en reageren nadat het logboek is geschreven. Tegen die tijd zijn de meest kritieke systemen of bronnen mogelijk al aangetast of verstoord door het systeem dat het inbraakdetectiesysteem op hostniveau activeert. Dankzij realtime notificaties kunt u snel reageren volgens vooraf gedefinieerde parameters. Het bereik van deze reacties varieert van het toestaan ​​van infiltratie in de bewakingsmodus om informatie over de aanval en de aanvaller te verzamelen tot het onmiddellijk beëindigen van de aanval.

Ten slotte zijn inbraakdetectiesystemen op netwerkniveau onafhankelijk van de besturingssystemen die op het bedrijfsnetwerk zijn geïnstalleerd, aangezien ze werken op netwerkverkeer dat wordt uitgewisseld door alle knooppunten in het bedrijfsnetwerk. Het inbraakdetectiesysteem maakt het niet uit welk besturingssysteem een ​​bepaald pakket heeft gegenereerd, zolang het maar in overeenstemming is met de standaarden die door het detectiesysteem worden ondersteund. Het netwerk kan bijvoorbeeld Windows 98, Windows NT, Windows 2000 en XP, Netware, Linux, MacOS, Solaris, enz. draaien, maar als ze met elkaar communiceren via IP, dan is elk inbraakdetectiesysteem dat dit protocol ondersteunt , kunnen aanvallen op deze besturingssystemen detecteren.

Door inbraakdetectiesystemen op netwerk- en hostniveau te combineren, wordt de beveiliging van uw netwerk verhoogd.

Netwerkinbraakdetectiesystemen en firewalls

Meestal wordt geprobeerd om firewalls te vervangen door detectiesystemen voor netwerkintrusie, omdat deze laatste een zeer hoog beveiligingsniveau bieden. Houd er echter rekening mee dat firewalls gewoon op regels gebaseerde systemen zijn die verkeer erdoorheen toestaan ​​of weigeren. Zelfs firewalls die zijn gebouwd met de ""-technologie maken het niet mogelijk om met zekerheid te zeggen of de aanval aanwezig is in het verkeer dat ze controleren of niet. Ze kunnen zien of het verkeer aan de regel voldoet of niet. ITU is bijvoorbeeld geconfigureerd om alle verbindingen te blokkeren, behalve TCP-verbindingen op poort 80 (d.w.z. HTTP-verkeer). Dus al het verkeer op poort 80 is legaal vanuit het oogpunt van de ITU. Aan de andere kant houdt inbraakdetectie ook het verkeer in de gaten, maar zoekt het naar tekenen van een aanval. Het maakt haar weinig uit voor welke haven het verkeer bestemd is. Standaard is al het verkeer naar het inbraakdetectiesysteem verdacht. Dat wil zeggen, ondanks het feit dat het inbraakdetectiesysteem met dezelfde gegevensbron werkt als de ITU, dat wil zeggen met netwerkverkeer, voeren ze functies uit die elkaar aanvullen. Bijvoorbeeld het HTTP-verzoek "GET /../../../etc/passwd HTTP / 1.0". Vrijwel elke ITU laat dit verzoek door zichzelf lopen. Het inbraakdetectiesysteem zal deze aanval echter gemakkelijk detecteren en blokkeren.

De volgende analogie kan worden getrokken. Een firewall is een conventioneel tourniquet dat bij de hoofdingang van uw netwerk wordt geïnstalleerd. Maar naast de hoofddeuren zijn er naast ramen ook andere deuren. Vermomd als een echte werknemer of vertrouwen winnend in een bewaker bij de tourniquet, kan een aanvaller een explosief of een pistool door de tourniquet smokkelen. Een beetje van. Een indringer kan door het raam naar binnen. Daarom zijn inbraakdetectiesystemen nodig die de bescherming verbeteren die wordt geboden door firewalls, die weliswaar een noodzakelijk, maar duidelijk onvoldoende element van netwerkbeveiliging zijn.

Firewall- geen wondermiddel!

Varianten van reacties op een gedetecteerde aanval

Het is niet voldoende om een ​​aanval te detecteren - het is noodzakelijk om er dienovereenkomstig op te reageren. Het zijn de responsmogelijkheden die voor een groot deel de effectiviteit van het inbraakdetectiesysteem bepalen. Tot op heden worden de volgende antwoordmogelijkheden geboden:

• Melding aan de console (inclusief back-up) van het inbraakdetectiesysteem of aan de console van een geïntegreerd systeem (zoals een firewall).
• Geluidsmelding van de aanval.
• Genereren van SNMP-besturingssequenties voor netwerkbeheersystemen.
• Het genereren van een e-mailbericht over een aanval.
• Aanvullende meldingen per semafoon of fax. Een zeer interessante, zij het zelden gebruikte functie. De melding over detectie van ongeoorloofde activiteit wordt niet naar de beheerder gestuurd, maar naar de aanvaller. Volgens de aanhangers van deze reactiemogelijkheid wordt de overtreder, nadat hij heeft vernomen dat hij is ontdekt, gedwongen te stoppen met zijn acties.
• Verplichte registratie van gedetecteerde gebeurtenissen. Het volgende kan als logboek dienen:
  • tekstbestand,
  • syslog (bijvoorbeeld in het Cisco Secure Integrated Software-systeem),
  • een tekstbestand met een speciaal formaat (bijvoorbeeld in het Snort-systeem),
  • lokale MS Access-database,
  • SQL-database (bijvoorbeeld in het RealSecure-systeem).
  Het is alleen nodig om er rekening mee te houden dat de volumes van de geregistreerde informatie in de regel een SQL-basis vereisen - MS SQL of Oracle.
• Gebeurtenis traceren, d.w.z. ze vast te leggen in de volgorde en met de snelheid waarmee de aanvaller ze uitvoerde. Vervolgens kan de beheerder op elk gewenst moment de noodzakelijke reeks gebeurtenissen met een bepaalde snelheid (in realtime, met versnelling of vertraging) herhalen (replay of playback) om de activiteit van de aanvaller te analyseren. Dit zal u toelaten om zijn kwalificaties, de gebruikte aanvalsmiddelen, enz. te begrijpen.
• Onderbreking van de acties van de aanvaller, d.w.z. beëindiging van de verbinding. Dit kan als volgt:
  • onderschepping van een verbinding (sessiekaping) en het verzenden van een pakket met de RST-vlag ingesteld naar beide deelnemers aan een netwerkverbinding namens elk van hen (in een inbraakdetectiesysteem dat op netwerkniveau werkt);
  • Het gebruikersaccount van de aanvaller blokkeren (in het inbraakdetectiesysteem op hostniveau). Een dergelijke blokkering kan worden uitgevoerd voor een bepaalde periode of totdat het account wordt ontgrendeld door de beheerder. Afhankelijk van de privileges waarmee het inbraakdetectiesysteem wordt gestart, kan de blokkering zowel binnen de doelcomputer zelf als binnen het gehele netwerkdomein plaatsvinden.
• Herconfiguratie van netwerkapparatuur of firewalls. Als een aanval op de router of firewall wordt gedetecteerd, wordt een opdracht verzonden om de toegangscontrolelijst te wijzigen. Vervolgens worden alle pogingen om verbinding te maken vanaf de aanvallende host afgewezen. Naast het blokkeren van het account van de aanvaller, kan de toegangscontrolelijst worden gewijzigd voor een bepaald tijdsinterval of totdat de wijziging wordt geannuleerd door de beheerder van de herconfigureerbare netwerkapparatuur.
• Netwerkverkeer blokkeren zoals het in firewalls wordt geïmplementeerd. Met deze optie kunt u het verkeer beperken, evenals ontvangers die toegang hebben tot de bronnen van de beveiligde computer, zodat u functies kunt uitvoeren die beschikbaar zijn in persoonlijke firewalls.