Introduksjon

Angrep på et datasystem er en handling utført av en angriper for å finne og bruke en bestemt sårbarhet. Dermed er et angrep en realisering av en trussel. Merk at en slik tolkning av et angrep (som involverer en person med ondsinnet hensikt) utelukker elementet av tilfeldighet som er tilstede i definisjonen av en trussel, men som erfaring viser, er det ofte umulig å skille mellom tilsiktede og utilsiktede handlinger, og en god forsvarssystemet må reagere tilstrekkelig på noen av dem. ...

En trussel formidling er at informasjon blir kjent for noen som ikke burde vite det. Når det gjelder datasikkerhet, oppstår en avsløringstrussel hver gang man får tilgang til konfidensiell informasjon, enten lagret på et datasystem eller overført fra ett system til et annet. Noen ganger brukes begrepene "tyveri" eller "lekkasje" i stedet for ordet "avsløring".

En trussel integritet inkluderer enhver bevisst endring (endring eller til og med sletting) av data som er lagret i et datasystem eller overført fra ett system til et annet. Det er en generell oppfatning at trusselen om avsløring er mer sårbar for offentlige etater, og trusselen mot integritet - forretningsmessig eller kommersiell.

En trussel tjenestenekt oppstår når, som et resultat av enkelte handlinger, tilgang til en bestemt ressurs i datasystemet blokkeres. Faktisk kan blokkering være permanent, slik at den forespurte ressursen aldri oppnås, eller den kan bare forsinke den forespurte ressursen lenge nok til at den blir ubrukelig. I slike tilfeller sies ressursen å være oppbrukt.

Typiske trusler i Internett-miljøet er:

· Feil på en av nettverkskomponentene. Feil på grunn av designfeil eller maskinvare- eller programvarefeil kan føre til tjenestenekt eller kompromittering av sikkerheten på grunn av feil på en av nettverkskomponentene. Feil i en brannmur eller falske autorisasjonsnektelser fra autentiseringsservere er eksempler på feil som har innvirkning på sikkerheten.

· Skanning av informasjon. Uautorisert visning av kritisk informasjon av inntrengere eller autoriserte brukere kan forekomme ved hjelp av ulike mekanismer - e-post med feil mottaker, utskrift av skriveren, feilkonfigurerte tilgangskontrolllister, deling av samme identifikator med flere personer, etc.

· Misbruk av informasjon – bruk av informasjon til andre formål enn de som er autorisert kan føre til tjenestenekt, unødvendige kostnader, tap av omdømme. Både interne og eksterne brukere kan være synderen.

· Masquerade - forsøk på å forkle seg som en autorisert bruker for å stjele tjenester eller informasjon, eller å sette i gang økonomiske transaksjoner som vil føre til økonomiske tap eller problemer for organisasjonen.

1. Angrepsdeteksjon

Historisk sett er teknologiene som brukes til å bygge angrepsdeteksjonssystemer konvensjonelt delt inn i to kategorier: avviksdeteksjon og misbruksdeteksjon. I praksis brukes imidlertid en annen klassifisering, som tar hensyn til prinsippene for praktisk implementering av slike systemer: angrepsdeteksjon på nettverksnivå (nettverksbasert) og på vertsnivå (vertsbasert). Førstnevnte analyserer nettverkstrafikk, mens sistnevnte analyserer operativsystemet eller applikasjonsloggene. Hver av klassene har sine egne fordeler og ulemper, men mer om det senere. Det skal bemerkes at bare noen få inntrengningsdeteksjonssystemer entydig kan tilordnes en av de navngitte klassene. Som regel inkluderer de mulighetene til flere kategorier. Denne klassifiseringen reflekterer imidlertid nøkkelfunksjoner som skiller ett inntrengningsdeteksjonssystem fra et annet.

Foreløpig er teknologi for avviksdeteksjon ikke utbredt, og den brukes ikke i noe kommersielt distribuert system. Dette skyldes det faktum at denne teknologien ser vakker ut i teorien, men den er veldig vanskelig å implementere i praksis. Nå har det imidlertid skjedd en gradvis tilbakevending til det (spesielt i Russland), og det er å håpe at brukere snart vil kunne se de første kommersielle angrepsdeteksjonssystemene som bruker denne teknologien.

En annen tilnærming til angrepsdeteksjon er misbruksdeteksjon, som består i å beskrive et angrep i form av et mønster eller signatur og søke etter dette mønsteret i et kontrollert rom (nettverkstrafikk eller logg). Antivirussystemer er et godt eksempel på et inntrengningsdeteksjonssystem som bruker denne teknologien.

Som nevnt ovenfor er det to klasser av systemer som oppdager angrep på nettverks- og driftsnivå. Den grunnleggende fordelen med nettverksbaserte inntrengningsdeteksjonssystemer er at de identifiserer angrep før de når målverten. Disse systemene er lettere å distribuere i store nettverk fordi de ikke krever installasjon på de ulike plattformene som brukes i organisasjonen. I Russland er de mest utbredte operativsystemene MS-DOS, Windows 95, NetWare og Windows NT. Ulike UNIX-dialekter er ennå ikke like utbredt i vårt land som i Vesten. I tillegg har inntrengningsdeteksjonssystemer på nettverksnivå liten eller ingen innvirkning på nettverksytelsen.

Vertsbaserte inntrengningsdeteksjonssystemer er designet for å fungere under et spesifikt operativsystem, som pålegger dem visse begrensninger. For eksempel vet jeg ikke om et eneste system av denne klassen som opererer under MS-DOS eller Windows for Workgroups (og disse operativsystemene er fortsatt ganske utbredt i Russland). Ved å bruke kunnskap om hvordan operativsystemet er ment å "oppføre seg", kan verktøy bygget med denne tilnærmingen noen ganger oppdage inntrenging som verktøy for oppdagelse av nettverksangrep savner. Imidlertid oppnås dette ofte til en høy kostnad, fordi den vedvarende registreringen som kreves for å utføre denne typen oppdagelse, reduserer ytelsen til den beskyttede verten betydelig. Slike systemer belaster prosessoren tungt og krever store mengder diskplass for lagring av logger og er i prinsippet ikke aktuelt for svært kritiske systemer som opererer i sanntid (for eksempel bankens driftsdagsystem eller ekspedisjonskontrollsystem). Uansett, men begge disse tilnærmingene kan brukes til å beskytte organisasjonen din. Hvis du ønsker å beskytte en eller flere noder, kan inntrengningsdeteksjonssystemer på vertsnivå være et godt valg. Men hvis du ønsker å beskytte de fleste av organisasjonens nettverksnoder, er inntrengningsdeteksjonssystemer på nettverksnivå sannsynligvis det beste valget, siden å øke antall noder på nettverket ikke på noen måte vil påvirke sikkerhetsnivået som oppnås av inntrengingsdeteksjonssystemer . Den vil være i stand til å beskytte ekstra noder uten ekstra konfigurasjon, mens i tilfelle du bruker et system som opererer på vertsnivå, må du installere og konfigurere det for hver beskyttet vert. Den ideelle løsningen ville være et inntrengningsdeteksjonssystem som kombinerer begge disse tilnærmingene.

Kommersielle inntrengningsdeteksjonssystemer (IDS) på markedet i dag bruker enten en nettverks- eller systemtilnærming for å gjenkjenne og dempe angrep. Uansett, disse produktene er ute etter angrepssignaturer, spesifikke mønstre som vanligvis indikerer fiendtlig eller mistenkelig oppførsel. Ved søk etter disse mønstrene i nettverkstrafikk fungerer IDS på nettverksnivå. Hvis IDS ser etter signaturer for angrep i operativsystemet eller applikasjonsloggene, så er det det systemnivå. Hver tilnærming har sine egne fordeler og ulemper, men begge utfyller hverandre. Det mest effektive er et inntrengningsdeteksjonssystem som bruker begge teknologiene i sitt arbeid. Denne artikkelen diskuterer forskjellene i metoder for å oppdage angrep på nettverks- og systemnivå for å demonstrere deres styrker og svakheter. Den beskriver også hvordan hver metode kan brukes for å mest effektivt oppdage angrep.

1.1. Deteksjon av angrep på nettverkslag

Angrepsdeteksjonssystemer for nettverkslag bruker rå nettverkspakker som en datakilde for analyse. Vanligvis bruker IDS-er for nettverkslag en promiskuøs nettverksadapter og analyserer trafikk i sanntid mens den går gjennom nettverkssegmentet. Angrepsgjenkjenningsmotoren bruker fire velkjente metoder for å gjenkjenne en angrepssignatur:

o Overholdelse av trafikk med et mønster (signatur), uttrykk eller bytekode som karakteriserer et angrep eller mistenkelig handling;

o Overvåke frekvensen av hendelser eller overskridelse av terskelen;

o Sammenheng mellom flere lavprioriterte hendelser;

o Påvisning av statistiske anomalier.

Når et angrep er oppdaget, gir responsmodulen et bredt spekter av alternativer for varsling, alarm og mottiltak som svar på angrepet. Disse alternativene varierer fra system til system, men inkluderer vanligvis: å varsle administratoren via konsollen eller e-post, avslutte forbindelsen med den angripende verten og/eller ta opp en økt for senere analyse og bevisinnsamling.

1.2. Angrepsdeteksjon på systemnivå

På begynnelsen av 1980-tallet, før nettverk i det hele tatt utviklet seg, var den vanligste praksisen for å oppdage angrep å skanne logger for hendelser som indikerte mistenkelig aktivitet. Dagens inntrengningsdeteksjonssystemer på systemnivå er fortsatt et kraftig verktøy for å forstå angrep som allerede har skjedd og identifisere passende metoder for å håndtere fremtidig bruk. Moderne IDS-er på systemnivå bruker fortsatt loggbøker, men de har blitt mer automatiserte og inkluderer sofistikerte deteksjonsmetoder basert på den nyeste forskningen innen matematikk. Vanligvis overvåker IDS på systemnivå systemet, hendelsene og sikkerhetsloggene (syslog) på nettverk som kjører Windows NT eller Unix. Når noen av disse filene endres, sammenligner IDS de nye oppføringene med angrepssignaturer for å se om det er samsvar. Hvis et slikt samsvar blir funnet, sender systemet en alarm til administratoren eller utløser andre forhåndsdefinerte responsmekanismer.

IDS på systemnivå er i stadig utvikling, og inkluderer gradvis flere og flere nye deteksjonsmetoder. En slik populær teknikk er å sjekke kontrollsummene til nøkkelsystem- og kjørbare filer med jevne mellomrom for uautoriserte endringer. Rettidig svar er direkte relatert til frekvensen av avstemningen. Noen produkter lytter på aktive porter og varsler administratoren når noen prøver å få tilgang til dem. Denne typen deteksjon introduserer et rudimentært nivå av angrepsdeteksjon på nettverksnivå i driftsmiljøet.

1.3. Fordeler med nettverkslags inntrengningsdeteksjonssystemer

IDS-er på nettverksnivå har mange fordeler som ikke finnes i inntrengningsdeteksjonssystemer på systemnivå. Faktisk bruker mange kunder et inntrengningsdeteksjonssystem for nettverkslag på grunn av dets lave kostnader og rettidig respons. Følgende er hovedårsakene som gjør inntrengningsdeteksjon på nettverksnivå til den viktigste komponenten i effektiv håndheving av sikkerhetspolitikk.

1. Lave eierkostnader. Network Layer IDS må installeres på de mest kritiske stedene på nettverket for å kontrollere trafikk som flyter mellom flere systemer. Nettverkslagssystemer krever ikke programvare for inntrengningsdeteksjon som skal installeres på hver vert. Siden antallet nettsteder der IDS er installert for å overvåke hele nettverket er lite, er kostnadene ved å drive dem på bedriftsnettverket lavere enn kostnadene for å drive inntrengningsdeteksjonssystemer på systemnivå.

2. Deteksjon av angrep som hoppes over på systemnivå. Nettverkslags-IDS undersøker overskriftene til nettverkspakker for mistenkelig eller fiendtlig aktivitet. IDS-er på systemnivå fungerer ikke med pakkehoder, derfor kan de ikke oppdage denne typen angrep. For eksempel kan mange nettverksnektelser og TearDrop-angrep bare identifiseres ved å undersøke pakkehodene når de går gjennom nettverket. Denne typen angrep kan raskt identifiseres ved hjelp av et nettverkslag IDS som overvåker trafikk i sanntid. IDS-er for nettverkslag kan undersøke innholdet i en pakkedatakropp, se etter kommandoer eller spesifikk syntaks som brukes i spesifikke angrep. For eksempel, når en hacker prøver å bruke Back Orifice-programmet på systemer som ennå ikke er berørt av det, kan dette faktum oppdages ved å undersøke innholdet i datakroppen til pakken. Som nevnt ovenfor, fungerer ikke systemer på systemnivå på nettverksnivå og kan derfor ikke oppdage slike angrep.

3. Det er vanskeligere for en hacker å fjerne spor etter deres tilstedeværelse. Network Layer IDS bruker live trafikk for å oppdage angrep i sanntid. Dermed kan ikke hackeren fjerne sporene etter hans tilstedeværelse. De analyserte dataene inkluderer ikke bare informasjon om angrepsmetoden, men også informasjon som kan hjelpe til med å identifisere angriperen og bevise det i retten. Siden mange hackere er kjent med loggene, vet de hvordan de skal manipulere disse filene for å skjule sporene deres, noe som reduserer effektiviteten til systemene på systemnivå som trenger denne informasjonen for å oppdage et angrep.

4. Deteksjon og respons i sanntid. IDS-er på nettverksnivå oppdager mistenkelige og fiendtlige angrep SAMT DE HAR, og gir derfor mye raskere varsling og respons enn IDS-er på systemnivå. For eksempel kan en hacker som initierer et TCP-basert tjenestenektangrep på nettverkslaget stoppes ved at nettverkslagets IDS sender det angitte Reset-flagget i TCP-headeren for å avslutte forbindelsen til angriperen før angrepet forårsaker ødeleggelse eller skade på angriperen.vert. IDS-er på systemnivå gjenkjenner vanligvis ikke angrep før de er logget og svarer etter at loggen er skrevet. På dette tidspunktet kan de viktigste systemene eller ressursene allerede være kompromittert, eller systemet som kjører IDS-en på systemnivå kan bli forstyrret. Sanntidsvarsling lar deg raskt svare i henhold til forhåndsdefinerte parametere. Rekkevidden av disse svarene spenner fra å tillate infiltrasjon i overvåkingsmodus for å samle informasjon om angrepet og angriperen til umiddelbart å avslutte angrepet.

5. Oppdagelse av mislykkede angrep eller mistenkelige intensjoner. En nettverkslags-IDS installert utenfor brannmuren (ITU) kan oppdage angrep rettet mot ressurser bak ITU, selv om ITU kan avvise disse forsøkene. Systemer på systemnivå ser ikke reflekterte angrep som ikke når verten bak ITU. Denne tapte informasjonen kan være den viktigste for å vurdere og forbedre sikkerhetspolitikken.

6. OS-uavhengighet. IDS på nettverksnivå er uavhengig av operativsystemene som er installert på bedriftsnettverket. Systemnivå for inntrengningsdeteksjonssystemer krever spesifikke operativsystemer for å fungere skikkelig og generere de ønskede resultatene.

1.4. Fordeler med inntrengningsdeteksjonssystemer på systemnivå

Mens inntrengningsdeteksjonssystemer på systemnivå ikke er like raske som sine motparter på nettverksnivå, tilbyr de fordeler som sistnevnte ikke gjør. Disse fordelene inkluderer strengere analyser, mer oppmerksomhet til hendelsesdata på en spesifikk vert og lavere implementeringskostnader.

1. Bekrefter suksessen eller fiaskoen til angrepet. Siden IDS-er på systemnivå bruker logger som inneholder data om hendelser som faktisk fant sted, kan IDS av denne klassen avgjøre med høy nøyaktighet om et angrep virkelig var vellykket eller ikke. I denne forbindelse gir IDS-er på systemnivå et utmerket komplement til inntrengningsdeteksjonssystemer på nettverksnivå. Denne kombinasjonen gir tidlig varsling med nettverkskomponenten og "suksess" for et angrep med systemkomponenten.

2. Overvåker aktiviteten til en bestemt node. IDS på systemnivå overvåker brukeraktivitet, tilgang til filer, endringer i filtilgangsrettigheter, forsøk på å installere nye programmer og/eller forsøk på å få tilgang til privilegerte tjenester. For eksempel kan en IDS på systemnivå overvåke alle påloggings- og avloggingsaktiviteter til en bruker, samt handlinger utført av hver bruker når den er koblet til nettverket. Det er svært vanskelig for et nettverkslagssystem å gi dette nivået av hendelsesgranularitet. Teknologi for inntrengningsdeteksjon på systemnivå kan også overvåke aktiviteter som normalt bare vil bli utført av en administrator. Operativsystemer logger enhver hendelse som legger til, fjerner eller endrer brukerkontoer. IDS-er på systemnivå kan oppdage en tilsvarende endring så snart den inntreffer. IDS-er på systemnivå kan også revidere sikkerhetspolicyendringer som påvirker hvordan systemene sporer loggene deres osv.

Til syvende og sist kan inntrengningsdeteksjonssystemer på systemnivå overvåke endringer i nøkkelsystemfiler eller kjørbare filer. Forsøk på å overskrive slike filer eller installere trojanske hester kan oppdages og undertrykkes. Nettverkslagsystemer overser noen ganger denne typen aktivitet.

3. Oppdag angrep savnet av nettverkslagsystemer. IDS-er på systemnivå kan oppdage angrep som ikke kan oppdages av verktøy på nettverksnivå. Angrep lansert fra den angrepne serveren i seg selv kan for eksempel ikke oppdages av angrepsdeteksjonssystemer for nettverkslag.

4. Godt egnet for krypterte og byttede nettverk. Fordi IDS-en på systemnivå er installert på forskjellige verter på et bedriftsnettverk, kan den overvinne noen av problemene som oppstår når du opererer systemer på nettverksnivå i krypterte og byttede nettverk.

Bytting gjør at store nettverk kan administreres som flere små nettverkssegmenter. Som et resultat kan det være vanskelig å finne det beste stedet å installere nettverkslaget IDS. Noen ganger kan administrerte porter og speilporter, span-porter på svitsjer hjelpe, men disse metodene er ikke alltid anvendelige. Angrepsdeteksjon på systemnivå sikrer mer effektiv drift i svitsjede nettverk, fordi lar deg plassere IDS kun på de nodene der det er nødvendig.

Visse typer kryptering utgjør også utfordringer for inntrengningsdeteksjonssystemer for nettverkslag. Avhengig av hvor krypteringen utføres (kanal eller abonnent), kan nettverkslagets IDS forbli "blind" for visse angrep. IDS på systemnivå har ikke denne begrensningen. I tillegg analyserer operativsystemet, og dermed IDS-en på systemnivå, den dekrypterte innkommende trafikken.

5. Nær sanntidsdeteksjon og respons. Selv om angrepsdeteksjon på systemnivå ikke gir en virkelig sanntidsrespons, kan den, hvis den er riktig implementert, oppnås i nesten sanntid. I motsetning til eldre systemer som sjekker status og innhold i loggene med forhåndsbestemte intervaller, mottar mange moderne systemnivå-IDSer et OS-avbrudd hver gang en ny loggoppføring vises. Denne nye posten kan behandles umiddelbart, noe som reduserer tiden mellom å gjenkjenne et angrep og svare på det betydelig. Det er en forsinkelse mellom tidspunktet operativsystemet skriver en hendelse til loggfilen og tidspunktet det gjenkjennes av inntrengningsdeteksjonssystemet, men i mange tilfeller kan en angriper oppdages og stoppes før den gjør skade.

6. Ingen ekstra maskinvare kreves. Systemnivå for inntrengningsdeteksjonssystemer er installert på den eksisterende nettverksinfrastrukturen, inkludert filservere, webservere og andre ressurser som er i bruk. Denne muligheten kan gjøre IDS-er på systemnivå svært kostnadseffektive fordi de ikke krever at en annen node på nettverket overvåkes, vedlikeholdes og administreres.

7. Lav pris. Selv om nettverkslaggir trafikkanalyse av hele nettverket, er de ofte ganske dyre. Kostnaden for ett inntrengningsdeteksjonssystem kan overstige $ 10 000. På den annen side koster inntrengningsdeteksjonssystemer på systemnivå hundrevis av dollar per agent og kan kjøpes av kunden hvis det er nødvendig å kontrollere bare noen få noder i virksomheten, uten å kontrollere nettverksangrep.

1.5. Behovet for angrepsdeteksjonssystemer på både nettverk og systemnivå

Begge løsninger: IDS og nettverks- og systemnivåer har sine egne fordeler og fordeler som effektivt utfyller hverandre. Neste generasjon IDS må derfor inkludere integrerte system- og nettverkskomponenter. Kombinasjonen av disse to teknologiene vil betydelig forbedre nettverkets motstand mot angrep og misbruk, stramme sikkerhetspolicyer og innføre større fleksibilitet i utnyttelsen av nettverksressurser.

Figuren nedenfor illustrerer hvordan på system- og nettverksnivå fungerer sammen for å skape en mer effektiv brannmur. Noen hendelser oppdages kun av nettverkssystemer. Andre - kun ved hjelp av systemet. Noen krever at begge typer angrepsdeteksjon brukes for pålitelig deteksjon.

Figur 1. V interoperabilitet av angrepsdeteksjonsmetoder på system- og nettverksnivå

1.6. Liste over krav til inntrengningsdeteksjonssystemer
neste generasjon

Funksjoner for neste generasjons inntrengningsdeteksjonssystemer:

1. Muligheter for å oppdage angrep på system- og nettverksnivå, integrert i ett enkelt system.

2. Delt administrasjonskonsoll med et konsistent grensesnitt for produktkonfigurasjon, administrasjonspolicy og visning av individuelle hendelser fra både system- og nettverkskomponenter i inntrengningsdeteksjonssystemet.

3. Integrert database over hendelser.

4. Integrert rapporteringssystem.

5. Muligheter for å korrelere hendelser.

6. Integrert online hjelp for hendelsesrespons.

7. Enhetlige og konsistente installasjonsprosedyrer.

8. Legge til muligheten til å kontrollere dine egne hendelser.

I fjerde kvartal 1998 ble RealSecureT versjon 3.0 utgitt, som oppfyller alle disse kravene.

· RealSecure Tracking Module - oppdager nettverkslagsangrep på Ethernet-, Fast Ethernet-, FDDI- og Token Ring-nettverk.

· RealSecure Agent - oppdager angrep på servere og andre systemenheter.

· RealSecure Manager — En administrasjonskonsoll som gir konfigurasjon for RealSecure-sporere og agenter og integrerer sanntidsanalyse av nettverkstrafikk og systemlogger.

2. Hele verden er full av angrep

Det er to strategier som kan brukes til å forsvare seg mot ulike typer angrep. Den første er å skaffe de mest kjente (men ikke alltid de beste) forsvarssystemene mot alle typer angrep. Denne metoden er veldig enkel, men den krever en enorm investering. Ingen hjemmebrukere eller til og med lederen av en organisasjon vil gjøre dette. Derfor brukes vanligvis den andre strategien, som består i en foreløpig analyse av sannsynlige trusler og påfølgende valg av beskyttelsesmidler mot dem.

Trusselanalyse, eller risikoanalyse, kan også gjøres på to måter. En kompleks, men mer effektiv måte er at før du velger de mest sannsynlige truslene, utføres en analyse av informasjonssystemet, informasjonen som behandles i det, brukt programvare og maskinvare osv. Dette vil begrense omfanget av potensielle angrep betydelig og dermed øke effektiviteten av å investere penger i de kjøpte sikkerhetsverktøyene. En slik analyse krever imidlertid tid, penger og, viktigst av alt, høyt kvalifiserte spesialister som gjennomfører en oversikt over det analyserte nettverket. Få bedrifter, enn si hjemmebrukere, har råd til å gå denne veien. Hva å gjøre? Du kan velge beskyttelsesverktøy basert på de såkalte standardtruslene, det vil si de som er mest vanlige. Til tross for at noen iboende trusler mot det beskyttede systemet kan bli ignorert, vil de fleste av dem fortsatt falle inn i det skisserte rammeverket. Hva er de vanligste typene trusler og angrep? Denne artikkelen er viet til svaret på dette spørsmålet. For å gjøre dataene som presenteres mer nøyaktige, vil jeg bruke statistikk hentet fra ulike kilder.

Tall, tall, tall...

Hvem begår oftest datakriminalitet og gjennomfører ulike angrep? Hva er de vanligste truslene? Jeg vil sitere dataene innhentet av den mest autoritative kilden på dette feltet - Computer Security Institute (CSI) og gruppen av dataangrep fra FBI-avdelingen i San Francisco. Disse dataene ble publisert i mars 2000 i 2000 CSI / FBI Computer Crime and Security Survey. I følge disse dataene:

· 90 % av respondentene (store selskaper og offentlige organisasjoner) registrerte ulike angrep på informasjonsressursene deres;

· 70 % av respondentene rapporterte om alvorlige brudd på sikkerhetspolitikken som virus, tjenestenektangrep, misbruk av ansatte osv.;

· 74 % av respondentene led betydelige økonomiske tap som følge av disse bruddene.

Tap på grunn av brudd på sikkerhetspolitikken har også økt de siste årene. Hvis tapsbeløpet i 1997 var lik 100 millioner dollar, i 1999 - 124 millioner, økte dette tallet til 266 millioner dollar i 2000. Mengden tap fra tjenestenektangrep nådde 8,2 millioner dollar. Andre interessante data inkluderer kilder til angrep, typer vanlige angrep og størrelsen på deres tap.

En annen anerkjent kilde, CERT Coordination Center, bekrefter også disse dataene. I tillegg, ifølge dataene han samlet inn, faller økningen i sikkerhetshendelser sammen med fremveksten av Internett.

Interessen for e-handel vil drive denne veksten i årene som kommer. En annen trend har også blitt notert. På 1980- og begynnelsen av 1990-tallet angrep eksterne angripere nettsteder av nysgjerrighet eller for å demonstrere sine ferdigheter. I dag forfølger angrep oftest økonomiske eller politiske mål. Ifølge mange analytikere ble antallet vellykkede penetrasjoner i informasjonssystemer i 1999 alene doblet sammenlignet med året før (fra 12 % til 23 %). Både i 2000 og 2001 fortsetter denne trenden.

Det finnes også russisk statistikk på dette området. Og selv om den er ufullstendig og, etter mange eksperters mening, bare representerer toppen av isfjellet, vil jeg likevel gi disse tallene. I 2000 ble det ifølge innenriksdepartementet registrert 1375 datakriminalitet. Sammenlignet med 1999 har dette tallet økt med mer enn 1,6 ganger. Dataene til avdelingen for bekjempelse av kriminalitet i sfæren av høyteknologi i den russiske føderasjonens innenriksdepartement (avdeling "R") viser at de fleste forbrytelsene - 584 av totalen - er relatert til ulovlig tilgang til datainformasjon ; 258 tilfeller er skade på eiendom ved bruk av dataverktøy; 172 forbrytelser er forbundet med opprettelse og distribusjon av ulike virus, eller rettere sagt, "ondsinnede programmer for datamaskiner"; 101 forbrytelser - fra serien "ulovlig produksjon eller anskaffelse med det formål å selge tekniske midler for ulovlig innhenting av informasjon", 210 - svindel med bruk av data- og telekommunikasjonsnettverk; 44 - brudd på reglene for drift av datamaskiner og deres nettverk.

3. Hvordan beskytte deg mot eksterne angrep på Internett?

Det særegne ved Internett i dag er at 99 % av informasjonsressursene til nettverket er offentlig tilgjengelig. Fjerntilgang til disse ressursene kan utføres anonymt av enhver uautorisert bruker av nettverket. Et eksempel på slik uautorisert tilgang til offentlige ressurser er tilkobling til WWW- eller FTP-servere, hvis slik tilgang er tillatt.

Etter å ha bestemt hvilke ressurser på Internett brukeren har til hensikt å få tilgang til, er det nødvendig å svare på følgende spørsmål: skal brukeren tillate ekstern tilgang fra nettverket til ressursene sine? Hvis ikke, er det fornuftig å bruke et "rent klient" OS som et nettverks-OS (for eksempel Windows "95 eller NT Workstation), som ikke inneholder serverprogrammer som gir ekstern tilgang, og derfor ekstern tilgang til dette system. i utgangspunktet umulig, siden det rett og slett ikke leveres av programvare (for eksempel Windows "95 eller NT, men med ett men: det er egentlig ingen FTP, TELNET, WWW, etc.-servere for disse systemene, men vi må ikke glemme den innebygde- i evne til å gi ekstern tilgang til filsystemet, den såkalte deling ressurser. Og etter å ha husket i det minste Microsofts merkelige posisjon i forhold til å sikre sikkerheten til systemene sine, må du tenke seriøst før du bestemmer deg for produktene til dette selskapet. Det siste eksemplet: et program har dukket opp på Internett som gir en angriper uautorisert ekstern tilgang til filsystemet til Windows NT 4.0!). Valget av et klientoperativsystem løser i stor grad sikkerhetsproblemet for en gitt bruker (du kan ikke få tilgang til en ressurs som rett og slett ikke eksisterer!). Men i dette tilfellet forringes funksjonaliteten til systemet. Her er det betimelig å formulere, etter vår mening, det grunnleggende aksiomet for sikkerhet:

Sikkerhetsaksiom. Prinsippene for tilgjengelighet, bekvemmelighet, ytelse og funksjonalitet til et datasystem er antagonistiske til prinsippene for dets sikkerhet.

Dette aksiomet er i prinsippet åpenbart: jo mer tilgjengelig, praktisk, rask og multifunksjonell fly, jo mindre sikker er det. Det er mange eksempler. For eksempel DNS-tjeneste: praktisk, men farlig.

La oss gå tilbake til brukerens valg av klientnettverks-OS. Dette er for øvrig et av de veldig fornuftige trinnene som fører til en nettverkspolitikk for isolasjonisme. Denne nettverkssikkerhetspolicyen er å implementere så fullstendig isolasjon av datasystemet ditt fra omverdenen som mulig. Et av trinnene for å håndheve denne policyen er for eksempel bruken av brannmursystemer, slik at du kan opprette et dedikert sikkert segment (for eksempel et privat nettverk), atskilt fra det globale nettverket. Selvfølgelig er det ingenting som hindrer deg i å bringe denne politikken med nettverksisolasjonisme til det absurde - bare å trekke ut nettverkskabelen (fullstendig isolasjon fra omverdenen!). Ikke glem, dette er også en "løsning" på alle problemer med eksterne angrep og nettverkssikkerhet (på grunn av fullstendig fravær av disse).

Så la Internett-brukeren bestemme seg for å bare bruke klientens nettverksoperativsystem for å få tilgang til nettverket og kun bruke det for uautorisert tilgang. Har sikkerhetsproblemer blitt løst? Ikke i det hele tatt! Alt ville vært bra hvis det ikke var så ille. For et Denial of Service-angrep er det absolutt irrelevant verken typen tilgang som brukes av brukeren, eller typen nettverks-OS (selv om klient-OS er noe å foretrekke fra et synspunkt om beskyttelse mot angrep). Dette angrepet, som utnytter grunnleggende sikkerhetshull i protokollene og infrastrukturen til Internett, angriper nettverksoperativsystemet på en brukers vert med det eneste formål å forstyrre funksjonaliteten. Windows 95 eller Windows NT er det mest lukrative målet for et falskt ICMP-denial-of-service-angrep, en angriper som kan forstyrre ytelsen med mindre han ønsker å bare spille et puss.

3.1. Administrative metoder for beskyttelse mot eksterne angrep på Internett

Det mest korrekte trinnet i denne retningen vil være å invitere en som sammen med deg vil prøve å løse hele spekteret av oppgaver for å sikre det nødvendige sikkerhetsnivået for ditt distribuerte fly. Dette er en ganske vanskelig kompleks oppgave, for løsningen som det er nødvendig å bestemme hva (listen over kontrollerte objekter og ressurser til DCS), fra hva (analyse av mulige trusler mot denne DCS) og hvordan (utvikling av krav, definisjon av en sikkerhetspolicy og utvikling av administrative og maskinvare-programvare tiltak for å sikre i praksis, den utviklede sikkerhetspolitikken) for å beskytte.

Det enkleste og billigste er kanskje de administrative metodene for beskyttelse mot informasjonsdestruktiv påvirkning.

3.1.1. Hvordan kan jeg beskytte meg mot nettverkstrafikkanalyse?

Det er et angrep som lar en cracker fange opp all informasjon som utveksles mellom eksterne brukere ved å bruke programvare som lytter på en meldingsoverføringskanal på nettverket, hvis bare ukrypterte meldinger overføres over kanalen. Det kan også vises at de grunnleggende applikasjonsprotokollene for fjerntilgang TELNET og FTP ikke sørger for elementær kryptering av jevn identifikator (navn) og autentisering (passord) til brukere som overføres over nettverket. Derfor kan nettverksadministratorer åpenbart rådes til ikke å bruke disse underliggende protokollene for å gi fjernkontroll autorisert tilgang til ressursene til systemene deres og anser analysen av nettverkstrafikk som den konstant tilstedeværende trusselen som ikke kan elimineres, men du kan gjøre implementeringen i hovedsak meningsløs ved å bruke sterke kryptoalgoritmer for å beskytte IP-strømmen.

3.1.2. Hvordan kan jeg beskytte mot en falsk ARP-server?

I tilfelle nettverksoperativsystemet ikke har informasjon om korrespondansen mellom IP- og Ethernet-adresser til verter innenfor ett segment av IP-nettverket, lar denne protokollen deg sende en kringkastings-ARP-forespørsel for å finne den nødvendige Ethernet-adressen, som en angriperen kan sende et falskt svar, og i fremtiden vil all trafikk på lenkenivå bli fanget opp av angriperen og vil passere gjennom den falske ARP-serveren. Åpenbart, for å eliminere dette angrepet, er det nødvendig å eliminere grunnen til at det er mulig å utføre det. Hovedårsaken til suksessen til dette eksterne angrepet er mangelen på nødvendig informasjon fra operativsystemet til hver vert om de tilsvarende IP- og Ethernet-adressene til alle andre verter innenfor dette nettverkssegmentet. Dermed vil den enkleste løsningen være at nettverksadministratoren oppretter en statisk ARP-tabell i form av en fil (vanligvis / etc / ethers på UNIX), hvor riktig adresseinformasjon må legges inn. Denne filen er installert på hver vert i segmentet, og derfor trenger ikke nettverksoperativsystemet å bruke eksternt ARP-oppslag.

3.1.3. Hvordan beskytte mot en forfalsket DNS-server?

Bruk av DNS i sin nåværende form på Internett kan tillate en cracker å få global kontroll over tilkoblinger ved å tvinge en lokkevei gjennom crackerens lokke-DNS-server. Basert på potensielle DNS-sårbarheter, kan dette eksterne angrepet få katastrofale konsekvenser for et stort antall Internett-brukere og kan føre til et massivt cybersikkerhetsbrudd på dette globale nettverket. De neste to avsnittene foreslår mulige administrative metoder for å forhindre eller hindre dette eksterne angrepet for nettverksadministratorer og brukere og for DNS-serveradministratorer.

a) Hvordan kan en nettverksadministrator beskytte seg mot en falsk DNS-server?

Hvis svaret på dette spørsmålet er kort, så på ingen måte. Det finnes ikke noe administrativt eller programmatisk forsvar mot et angrep på en eksisterende versjon av DNS-tjenesten. Den beste sikkerhetsløsningen ville være å slutte å bruke DNS-tjenesten i ditt sikre segment helt! Selvfølgelig vil det ikke være veldig praktisk for brukere å helt forlate bruken av navn når de refererer til verter. Derfor kan vi tilby følgende avveiningsløsning: bruk navn, men forlat den eksterne DNS-oppslagsmekanismen. Du gjettet det riktig, dette er en fallback til pre-DNS med dedikerte DNS-servere. Så på hver maskin på nettverket det var verter en fil som inneholdt informasjon om de tilsvarende navnene og IP-adressene til alle verter på nettverket. Det er åpenbart at i dag kan administratoren legge inn informasjon i en slik fil kun om de mest besøkte nettverksserverne av brukere av dette segmentet. Derfor er det ekstremt vanskelig å bruke denne løsningen i praksis og tilsynelatende urealistisk (hva skal man for eksempel gjøre med nettlesere som bruker URL-er med navn?).

For å komplisere implementeringen av dette eksterne angrepet, kan du foreslå at administratorer bruker TCP for DNS-tjenesten i stedet for UDP, som er installert som standard (selv om det er langt fra åpenbart fra dokumentasjonen hvordan man endrer det). Dette gjør det mye vanskeligere for en angriper å sende et falskt DNS-svar til verten uten å godta DNS-forespørselen.

Den generelle skuffende konklusjonen er denne: på Internett, når du bruker den eksisterende DNS-tjenesteversjoner eksisterer ikke en akseptabel løsning for å beskytte mot en falsk DNS-server (og du vil ikke nekte, slik tilfellet er med ARP, og det er farlig å bruke)!

b) Hvordan kan en DNS-serveradministrator beskytte mot en falsk DNS-server?

Hvis svaret på dette spørsmålet er kort, så igjen, på ingen måte. Den eneste måten å gjøre dette eksterne angrepet vanskeligere er å bruke kun TCP, ikke UDP, for å kommunisere med verter og andre DNS-servere. Dette vil imidlertid bare gjøre angrepet vanskeligere - ikke glem både mulig avskjæring av DNS-forespørselen og muligheten for matematisk prediksjon av startverdien til TCP ISN-identifikatoren.

Avslutningsvis kan vi anbefale for hele Internett å raskt flytte enten til en ny, sikrere versjon av DNS-tjenesten, eller å ta i bruk en enkelt standard for en sikker protokoll. Det er viktig å gjøre denne overgangen, til tross for alle de enorme kostnadene, ellers kan Internett rett og slett bli brakt på kne før de stadig økende vellykkede forsøkene på å bryte sikkerheten ved å bruke denne tjenesten!

3.1.4. Hvordan beskytte mot spoofing-rute når du bruker ICMP?

Angrepet, som bestod i å sende en falsk ICMP Redirect-melding til verten om endring av den opprinnelige ruten, førte både til avlytting av informasjon av angriperne og til en funksjonsfeil hos den angrepne verten. For å forsvare seg mot dette eksterne angrepet, er det nødvendig å enten filtrere denne meldingen (ved hjelp av en brannmur eller en filtreringsruter), hindre den i å nå sluttsystemet, eller velge nettverks-OS som vil ignorere denne meldingen. Imidlertid er det vanligvis ingen administrativ måte å påvirke nettverksoperativsystemet for å hindre det i å endre ruten og svare på denne meldingen. Den eneste måten, for eksempel i tilfellet med Linux eller FreeBSD OS, er å endre kildene og rekompilere OS-kjernen. Åpenbart er en så eksotisk måte for mange bare mulig for operativsystemer som distribueres fritt sammen med kildekoden. Vanligvis, i praksis, er det ingen annen måte å finne ut hvordan operativsystemet ditt reagerer på en ICMP Redirect-melding, hvordan du sender denne meldingen og ser hva resultatet blir. Eksperimenter har vist at denne meldingen lar deg endre ruting på Linux 1.2.8, Windows "95 og Windows NT 4.0. Det bør bemerkes at Microsoft-produkter ikke er spesielt beskyttet mot mulige eksterne angrep som er iboende i IP-nettverk. Bruk derfor disse OS i det beskyttede segmentet av IP-nettverket virker uønsket, og dette vil være den administrative avgjørelsen for å beskytte segmentet av nettverket fra dette eksterne angrepet.

3.1.5. Hvordan beskytte mot tjenestenekt?

Det er ingen, og kan ikke være, en akseptabel måte å beskytte mot tjenestenekt i den eksisterende IPv4-standarden på Internett. Dette skyldes det faktum at i denne standarden er det umulig å kontrollere ruten for meldinger. Derfor er det umulig å sikre pålitelig kontroll over nettverksforbindelser, siden ett emne for nettverksinteraksjon har muligheten til å okkupere et ubegrenset antall kommunikasjonskanaler med et eksternt objekt og samtidig forbli anonym. På grunn av dette kan enhver server på Internett bli fullstendig lammet ved hjelp av et eksternt angrep.

Det eneste som kan foreslås for å forbedre påliteligheten til systemet som er utsatt for dette angrepet, er å bruke datamaskiner så kraftige som mulig. Jo høyere antall og frekvens av prosessorer, jo større mengde RAM, jo mer pålitelig vil nettverksoperativsystemet være når det blir truffet av en rettet "storm" av falske tilkoblingsforespørsler. I tillegg må du bruke operativsystemer som er passende for din prosessorkraft, med en intern kø som kan ta imot et stort antall tilkoblingsforespørsler. Tross alt, fra det faktum at du for eksempel setter på en superdatamaskin operativsystemet Linux eller Windows NT, hvis kølengde for samtidig behandlede forespørsler er omtrent 10, og tidsavbruddet for å tømme køen er flere minutter, så, til tross for alt datamaskinens datakraft, vil operativsystemet fullstendig lammet av angriperen.

3.1.6. Hvordan beskytte mot forfalskning av en av partene når du samhandler med de grunnleggende protokollene til TCP / IP-familien

Som nevnt tidligere, den eneste grunnleggende protokollen til TCP / IP-familien, som i utgangspunktet sørger for funksjonen for å sikre sikkerheten til forbindelsen og dens abonnenter, er transportlagsprotokollen - TCP-protokollen. Når det gjelder de grunnleggende applikasjonsnivåprotokollene: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, gir ingen av dem ekstra beskyttelse for tilkoblingen på sitt eget nivå og overlater løsningen av alle problemer med å sikre tilkoblingen til protokollen til et lavere transportlag - TCP. Men med tanke på de mulige angrepene på TCP-forbindelsen, diskutert i avsnitt 4.5, hvor det ble bemerket at når en angriper er i samme segment for et angrep, er det i utgangspunktet umulig å forsvare seg mot forfalskning av en av TCP-forbindelsene abonnenter, segmenter, på grunn av muligheten for matematisk prediksjon av identifikatoren til TCP-tilkoblingen ISN, er det også mulig å erstatte en av abonnentene, det er lett å konkludere med at når du bruker de grunnleggende protokollene til TCP / IP-familien, er nesten umulig å sikre sikkerheten til forbindelsen! Dette skyldes det faktum at dessverre er alle de grunnleggende protokollene til Internett fra et informasjonssikkerhetssynspunkt utrolig utdaterte.

Det eneste som kan anbefales for nettverksadministratorer å beskytte kun fra krysssegmentangrep på tilkoblinger - bruk TCP-protokollen og nettverksoperativsystemer som den grunnleggende "sikre" protokollen, der startverdien til TCP-tilkoblingsidentifikatoren faktisk genereres tilfeldig (en god pseudo-tilfeldig genereringsalgoritme brukes i siste versjoner av FreeBSD OS).

3.2. Maskinvare og programvare metoder for beskyttelse mot eksterne angrep på Internett

Programvaren og maskinvaren for å sikre informasjonssikkerhet for kommunikasjonsfasiliteter i datanettverk inkluderer:

• maskinvarekryptering av nettverkstrafikk;
• Brannmurteknikk, implementert på grunnlag av programvare og maskinvare;
• sikre nettverkskryptoprotokoller;
• maskinvare og programvare nettverkstrafikkanalysatorer;
• sikre nettverksoperativsystemer.

Det er en enorm mengde litteratur viet til disse sikkerhetsverktøyene designet for bruk på Internett (i løpet av de siste to årene har artikler om dette emnet blitt funnet i nesten alle utgaver av et datamagasin).

Videre beskriver vi, så kort som mulig, for ikke å gjenta kjent informasjon til alle, disse sikkerhetstiltakene som brukes på Internett. Samtidig forfølger vi følgende mål: La oss først gå tilbake til myten om "absolutt beskyttelse" som brannmursystemer angivelig gir, tilsynelatende på grunn av innsatsen fra leverandørene deres; for det andre vil vi sammenligne de eksisterende versjonene av kryptoprotokollene som brukes på Internett, og gi et estimat, faktisk, kritisk situasjonen i dette området; og for det tredje vil vi gjøre leserne kjent med muligheten for beskyttelse ved hjelp av en nettverkssikkerhetsmonitor designet for å dynamisk overvåke situasjoner som oppstår i et beskyttet segment av et IP-nettverk, noe som indikerer at et av fjernangrepene beskrevet i kapittel 4 har blitt utført på dette segmentet.

3.2.1. Brannmurteknikk som det viktigste maskinvare- og programvareverktøyet for implementering av nettverkssikkerhetspolitikk i et dedikert segment av et IP-nettverk

Generelt implementerer brannmurteknikken følgende tre hovedfunksjoner:

1. Flernivåfiltrering av nettverkstrafikk.

Filtrering utføres vanligvis ved tre OSI-lag:

nettverk (IP);

transport (TCP, UDP);

brukt (FTP, TELNET, HTTP, SMTP, etc.).

Filtrering av nettverkstrafikk er hovedfunksjonen til brannmursystemer og lar nesentralt implementere den nødvendige nettverkssikkerhetspolicyen på et dedikert segment av IP-nettverket, det vil si ved å konfigurere brannmuren tilsvarende, kan du tillate eller nekte brukere tilgang fra det eksterne nettverket til de tilsvarende vertstjenestene eller til verter som befinner seg i det beskyttede segmentet, og tilgang for brukere fra det interne nettverket til de tilsvarende ressursene til det eksterne nettverket. Du kan tegne en analogi med den lokale OS-administratoren, som, for å implementere sikkerhetspolicyen i systemet, tildeler de riktige relasjonene mellom emnene (brukere) og systemobjekter (for eksempel filer) på den nødvendige måten, noe som gjør det er mulig å avgrense tilgangen til systemsubjektene til dets objekter i samsvar med tilgangsrettighetene spesifisert av administratoren. ... Det samme resonnementet gjelder for brannmurfiltrering: IP-adresser til brukerverter vil fungere som gjenstander for interaksjon, og IP-adresser til verter, brukte transportprotokoller og fjerntilgangstjenester vil bli brukt som objekter som tilgangen må begrenses til.

2. Proxy-skjema med ytterligere identifikasjon og autentisering av brukere på Brannmur-verten.

Proxy-ordningen lar for det første, når du får tilgang til et beskyttet brannmurnettverkssegment, utføre ytterligere identifikasjon og autentisering av en ekstern bruker på det, og for det andre er grunnlaget for å lage private nettverk med virtuelle IP-adresser. Meningen med proxy-ordningen er å opprette en forbindelse med den endelige mottakeren gjennom en mellomliggende proxy-server (proxy fra engelsk autoritative) på brannmur-verten. Det er på denne proxy-serveren ytterligere identifikasjon av abonnenten kan utføres.

3. Oppretting av private nettverk (Privat Virtual Network - PVN) med "virtuelle" IP-adresser (NAT - Network Address Translation).

I tilfelle neanser det som hensiktsmessig å skjule den sanne topologien til sitt interne IP-nettverk, kan han rådes til å bruke brannmursystemer for å opprette et privat nettverk (PVN-nettverk). Verter i PVN tildeles eventuelle "virtuelle" IP-adresser. For adressering til det eksterne nettverket (gjennom brannmuren), er det nødvendig enten å bruke proxy-servere beskrevet ovenfor på brannmur-verten, eller å bruke spesielle ruting (ruting)-systemer, bare gjennom hvilke ekstern adressering er mulig. Dette skyldes det faktum at den virtuelle IP-adressen som brukes i det interne PVN-nettverket åpenbart ikke er egnet for ekstern adressering (ekstern adressering er adressering til abonnenter utenfor PVN-nettverket). Derfor må en proxy-server eller et rutingverktøy kommunisere med abonnenter fra det eksterne nettverket fra sin virkelige IP-adresse. Forresten, denne ordningen er praktisk hvis du har blitt tildelt et utilstrekkelig antall IP-adresser for å opprette et IP-nettverk (i IPv4-standarden skjer dette hele tiden, derfor for å opprette et fullverdig IP-nettverk ved hjelp av en proxy-ordning, bare én dedikert IP-adresse er nok adresser for proxy-serveren).

Så enhver enhet som implementerer minst én av disse funksjonene i brannmurteknikken er en brannmurenhet. For eksempel er det ingenting som hindrer deg i å bruke en datamaskin med et vanlig FreeBSD- eller Linux-operativsystem som en brannmurvert, som du må kompilere OS-kjernen for. Denne typen brannmur vil kun gi flernivåfiltrering av IP-trafikk. Det er en annen sak at de kraftige brannmurkompleksene som tilbys på markedet, laget på grunnlag av en datamaskin eller minidatamaskin, vanligvis implementerer alle funksjonene til brannmurmetoden og er fullverdige brannmursystemer. Følgende figur viser et nettverkssegment atskilt fra det eksterne nettverket av en fullt funksjonell brannmurvert.

Ris. 2. Generalisert diagram av en fullt funksjonell brannmurvert.

Imidlertid bør administratorer av IP-nettverk, som gir etter for reklame for brannmursystemer, ikke ta feil av kontoen at Firewall er en garanti for absolutt beskyttelse mot eksterne angrep på Internett. Brannmur er ikke så mye et sikkerhetsverktøy som muligheten til sentralt å implementere en nettverkspolicy for å avgrense ekstern tilgang til tilgjengelige ressurser på nettverket ditt. Ja, hvis for eksempel ekstern TELNET-tilgang nektes en gitt vert, vil brannmuren definitivt forhindre denne tilgangen. Men faktum er at de fleste eksterne angrep har helt andre mål (det gir ingen mening å prøve å få en viss type tilgang hvis det er forbudt av brannmuren). Hvilke av de vurderte eksterne angrepene kan brannmur forhindre? Analysere nettverkstrafikk? Åpenbart ikke! Falsk ARP-server? Ja og nei (du trenger ikke bruke en brannmur for beskyttelse). Falsk DNS-server? Nei, dessverre er ikke Firewall din assistent her. Forfalske en rute ved hjelp av ICMP? Ja, dette angrepet ved å filtrere ICMP-meldinger avvises lett av brannmuren (selv om en filtreringsruter som Cisco vil være tilstrekkelig). Forfalskning av et av emnene for en TCP-tilkobling? Svaret er negativt; Brannmur har absolutt ingenting med det å gjøre. Vertsfeil ved å opprette en retningsbestemt falsk forespørselsstorm eller forespørselskøoverflyt? I dette tilfellet vil bruk av brannmur bare gjøre saken verre. En angriper for å deaktivere (avskåret fra omverdenen) alle verter inne i et segment som er beskyttet av et brannmursystem, er det nok å angripe kun én brannmur, og ikke flere verter (dette forklares lett med det faktum at kommunikasjon mellom interne verter og omverdenen er bare mulig gjennom brannmuren).

på ingen måte tilstrekkelig

Det følger ikke av ovenstående at bruken av brannmursystemer er absolutt meningsløs. Nei, for øyeblikket er det ikke noe alternativ til denne teknikken (nøyaktig som en teknikk!). Imidlertid må man tydelig forstå og huske hovedformålet. Det ser ut til at det er nødvendig å bruke brannmurteknikken for å sikre nettverkssikkerhet, men på ingen måte tilstrekkelig tilstand, og du trenger ikke anta at ved å installere en brannmur vil du med en gang løse alle nettverkssikkerhetsproblemer og bli kvitt alle mulige eksterne angrep fra Internett. Internett, råttent fra et sikkerhetssynspunkt, kan ikke beskyttes av en enkelt brannmur!

3.2.2. Programvarebeskyttelsesmetoder som brukes på Internett

De programmerte metodene for beskyttelse på Internett inkluderer først og fremst sikre kryptoprotokoller, med bruk av hvilke det blir mulig å pålitelig beskytte forbindelsen. I neste avsnitt vil vi snakke om tilnærmingene som eksisterer i dag på Internett og de viktigste, allerede utviklede, kryptoprotokollene.

En annen klasse programvaremetoder for beskyttelse mot eksterne angrep inkluderer eksisterende programmer, hvis hovedformål er å analysere nettverkstrafikk for tilstedeværelsen av et av de kjente aktive eksterne angrepene.

a) SKIP-teknologi og kryptoprotokoller SSL, S-HTTP som hovedmiddel for å beskytte tilkoblinger og overførte data på Internett

En av hovedårsakene til suksessen til eksterne angrep på distribuerte fly ligger i bruken av nesom ikke kan identifisere eksterne objekter pålitelig, beskytte forbindelsen og data som overføres over den. Derfor er det ganske naturlig at det i løpet av Internetts funksjon har blitt opprettet ulike sikre nettverksprotokoller ved bruk av både privat og offentlig nøkkelkryptering. Klassisk kryptografi med symmetriske kryptoalgoritmer forutsetter at sende- og mottakssiden har symmetriske (identiske) nøkler for kryptering og dekryptering av meldinger. Disse nøklene er ment å være fordelt på forhånd mellom et begrenset antall abonnenter, som i kryptografi kalles standard statisk nøkkeldistribusjonsproblem. Det er åpenbart at bruk av klassisk symmetrisk nøkkelkryptografi kun er mulig på et begrenset sett med objekter. Det er åpenbart ikke mulig å løse problemet med statisk nøkkeldistribusjon på Internett for alle brukerne. En av de første sikre utvekslingsprotokollene på Internett var imidlertid Kerberos-protokollen, basert nettopp på den statiske fordelingen av nøkler for et begrenset antall abonnenter. Våre spesialtjenester, som utvikler sine egne sikre kryptoprotokoller for Internett, er tvunget til å gå samme vei ved å bruke klassisk symmetrisk kryptografi. Dette skyldes det faktum at det av en eller annen grunn fortsatt ikke er en vertsbasert kryptoalgoritme for offentlig nøkkel. Overalt i verden har slike krypteringsstandarder lenge vært akseptert og sertifisert, og vi går tydeligvis igjen den andre veien!

Så det er klart at for å gjøre det mulig å beskytte hele settet med Internett-brukere, og ikke et begrenset delsett av det, er det nødvendig å bruke nøkler dynamisk generert i prosessen med å opprette en virtuell tilkobling ved hjelp av offentlig nøkkelkryptering. Deretter vil vi se på hovedtilnærmingene og protokollene i dag som gir tilkoblingssikkerhet.

HOPPE OVER(Secure Key Internet Protocol) -teknologi er en standard for innkapsling av IP-pakker, som lar den eksisterende IPv4-standarden på nettverksnivå sikre beskyttelsen av forbindelsen og dataene som overføres over den. Dette oppnås på følgende måte: En SKIP-pakke er en vanlig IP-pakke, hvis datafelt er en SKIP-header i et spesifisert format og et kryptogram (krypterte data). En slik struktur av en SKIP-pakke gjør at den fritt kan dirigeres til enhver vert på Internett (nettverksadressering skjer i henhold til den vanlige IP-headeren i en SKIP-pakke). Den endelige mottakeren av SKIP-pakken dekrypterer kryptogrammet i henhold til en algoritme som er forhåndsbestemt av utviklerne og danner en vanlig TCP- eller UDP-pakke, som overføres til den tilsvarende normalmodulen (TCP eller UDP) til operativsystemkjernen. I prinsippet er det ingenting som hindrer utvikleren i å danne sin egen originale header i henhold til denne ordningen, som er forskjellig fra SKIP-headeren.

S-HTTP(Secure HTTP) er en sikker HTTP-protokoll utviklet av Enterprise Integration Technologies (EIT) spesielt for nettet. S-HTTP-protokollen gir sterk kryptografisk beskyttelse kun for Web Server HTTP-dokumenter og opererer på applikasjonslaget til OSI-modellen. Denne funksjonen til S-HTTP-protokollen gjør den til et absolutt spesialisert middel for å sikre en tilkobling, og som et resultat kan den ikke brukes til å beskytte alle andre applikasjonsprotokoller (FTP, TELNET, SMTP, etc.). I tillegg støtter ingen av de store nettleserne som eksisterer i dag (verken Netscape Navigator 3.0 eller Microsoft Explorer 3.0) denne protokollen.

SSL(Secure Socket Layer) - utviklingen av Netscape - en universell tilkoblingssikkerhetsprotokoll som opererer på OSI-sesjonslaget. Denne protokollen, som bruker offentlig nøkkelkryptering, er i dag, etter vår mening, det eneste universelle verktøyet som lar deg dynamisk sikre enhver tilkobling ved hjelp av hvilken som helst applikasjonsprotokoll (DNS, FTP, TELNET, SMTP, etc.). Dette skyldes det faktum at SSL, i motsetning til S-HTTP, opererer på mellomliggende OSI-sesjonsnivå (mellom transport - TCP, UDP - og applikasjon - FTP, TELNET, etc.). I dette tilfellet skjer prosessen med å opprette en virtuell SSL-tilkobling i henhold til Diffie og Hellman-skjemaet (klausul 6.2), som lar deg generere en kryptografisk sterk sesjonsnøkkel, som deretter brukes av abonnenter på SSL-tilkoblingen for å kryptere overførte meldinger . SSL er nå praktisk talt etablert som den offisielle sikkerhetsstandarden for HTTP-tilkoblinger, det vil si for sikring av webservere. Den støttes selvfølgelig av Netscape Navigator 3.0 og merkelig nok Microsoft Explorer 3.0 (husk den voldsomme nettleserkrigen mellom Netscape og Microsoft). For å etablere en SSL-tilkobling til en webserver trenger du selvfølgelig også en webserver som støtter SSL. Slike versjoner av webservere finnes allerede (for eksempel SSL-Apache). Som avslutning på samtalen om SSL-protokollen kan man ikke unngå å merke seg følgende faktum: inntil nylig var eksport av kryptosystemer med en nøkkellengde på mer enn 40 bit forbudt av amerikanske lover (den ble nylig økt til 56 biter). Derfor, i eksisterende versjoner av nettlesere, brukes nøyaktig 40-bits nøkler. Kryptoanalytikere fant ut gjennom eksperimenter at i den eksisterende versjonen av SSL-protokollen er kryptering ved hjelp av en 40-bits nøkkel ikke pålitelig beskyttelse for meldinger som sendes over nettverket, siden ved et enkelt søk (2 40 kombinasjoner) velges denne nøkkelen på en gang på 1,5 (av superdatamaskin Silicon Graphics) opptil 7 dager (120 arbeidsstasjoner og flere minidatamaskiner ble brukt i beregningsprosessen).

Så det er åpenbart at den utbredte bruken av disse sikre utvekslingsprotokollene, spesielt SSL (selvfølgelig, med en nøkkellengde på mer enn 40 biter), vil legge en pålitelig barriere i veien for alle slags eksterne angrep og vil alvorlig komplisere livet til kjeks over hele verden. Imidlertid er hele tragedien med den nåværende situasjonen med å sikre sikkerhet på Internett at så langt har ingen av de eksisterende kryptoprotokollene (og det er allerede mange av dem) tatt form som en enkelt standard for å beskytte en tilkobling som vil bli støttet av alle produsenter av nettverksoperativsystemer! SSL-protokollen som er tilgjengelig i dag er best egnet for denne rollen. Hvis det ble støttet av alle nettverksoperativsystemer, ville det ikke være behov for å lage spesielle applikasjons-SSL-kompatible servere (DNS, FTP, TELNET, WWW, etc.). Hvis du ikke blir enige om å ta i bruk en enkelt standard for en sikker sesjonslagsprotokoll, vil det kreve vedtak av mange standarder for beskyttelse av hver enkelt applikasjonstjeneste. For eksempel er det allerede utviklet en eksperimentell, ikke-støttet Secure DNS-protokoll. Det finnes også eksperimentelle SSL-kompatible Secure FTP- og TELNET-servere. Men alt dette gir absolutt ingen mening uten å ta i bruk en enkelt standard som støttes av alle produsenter for en sikker protokoll. Og i dag kan produsenter av nettverksoperativsystemer ikke bli enige om en enhetlig holdning til dette emnet og dermed flytte løsningen av disse problemene direkte til Internett-brukere og tilby dem å løse deres informasjonssikkerhetsproblemer slik du vil!

b) Network Security Monitor IP Alert-1

Praktisk og teoretisk forskning av forfatterne, i retning knyttet til studiet av sikkerheten til distribuerte fly, inkludert Internett (to polare forskningsområder: brudd og levering av informasjonssikkerhet), foreslo følgende idé: på Internett, som i andre nettverk (f.eks. Novell NetWare, Windows NT), er det en alvorlig mangel på sikkerhetsprogramvare som kan kompleks kontroll (overvåking) på linknivå for hele informasjonsflyten som sendes over nettverket for å oppdage alle typer fjernpåvirkninger beskrevet i kapittel 4. Undersøkelser av markedet for programvare for Internett-nettverkssikkerhet avslørte det faktum at det ikke finnes så komplekse måter å oppdage eksterne angrep på, og de som eksisterer er designet for å oppdage angrep av en bestemt type (for eksempel ICMP Redirect eller ARP). Derfor ble utviklingen av et kontrollverktøy for et IP-nettverkssegment, beregnet for bruk på Internett, startet og fikk følgende navn: Network Security Monitor IP Alert-1... Hovedoppgaven til dette verktøyet, som programmatisk analyserer nettverkstrafikk i overføringskanalen, er ikke å reflektere eksterne angrep utført over kommunikasjonskanalen, men å oppdage og logge dem (vedlikeholde en revisjonsfil med innlogging i et skjema som er praktisk for påfølgende visuelle analyse av alle hendelser relatert til eksterne angrep på et gitt nettverkssegment) og umiddelbart varsle sikkerhetsadministratoren i tilfelle et eksternt angrep oppdaget. Hovedoppgaven nettverkssikkerhetsmonitor IP Alert-1 er en gjennomføring kontroll for sikkerheten til det tilsvarende segmentet av Internett.

Nettverkssikkerhetsmonitor IP Alert-1 har følgende funksjoner og tillater, gjennom nettverksanalyse, å oppdage følgende fjernangrep på det segmentet av Internett under dens kontroll.

Funksjonaliteten til IP Alert-1 Security Network Monitor

1. Kontroll over korrespondansen mellom IP- og Ethernet-adresser i pakker som overføres av verter som befinner seg innenfor det overvåkede nettverkssegmentet.

På IP Alert-1-verten oppretter sikkerhetsadministratoren en statisk ARP-tabell, der han legger inn informasjon om de tilsvarende IP- og Ethernet-adressene til verter som befinner seg innenfor det overvåkede nettverkssegmentet.

Denne funksjonen lar deg oppdage uautorisert endring av IP-adressen eller dens erstatning (IP-spoofing).

2. Kontroll over riktig bruk av den eksterne ARP-oppslagsmekanismen.

Denne funksjonen lar deg definere et eksternt "Fake ARP Server"-angrep ved å bruke en statisk ARP-tabell.

3. Kontroll over riktig bruk av den eksterne DNS-oppslagsmekanismen.

Denne funksjonen lar deg identifisere alle mulige typer eksterne angrep på DNS-tjenesten.

4. Kontroll for tilstedeværelsen av ICMP Redirect-meldinger.

Denne funksjonen varsler ved oppdagelse av ICMP Redirect-melding og tilsvarende fjernangrep.

5. Kontroll over riktigheten av fjerntilkoblingsforsøk ved å analysere overførte forespørsler.

Denne funksjonen lar deg oppdage for det første et forsøk på å undersøke loven om å endre startverdien til TCP-tilkoblingsidentifikatoren - ISN, for det andre et eksternt tjenestenektangrep utført ved å overfylle køen med tilkoblingsforespørsler, og for det tredje rettet " en storm av "falske tilkoblingsforespørsler (både TCP og UDP), som også resulterer i tjenestenekt."

Dermed Network Security Monitor IP Alert-1 lar deg oppdage, varsle og logge alle typer fjernangrep beskrevet i kapittel 4! Dette programmet er imidlertid på ingen måte en konkurrent til brannmursystemer. IP Alert-1, ved å bruke funksjonene til eksterne angrep på Internett, beskrevet og systematisert i kapittel 4, fungerer som et nødvendig tillegg - forresten, uforlignelig billigere - til brannmursystemer. Uten en sikkerhetsmonitor vil de fleste fjernangrepsforsøk på nettverkssegmentet forbli skjult fra visningen. Ingen av de kjente brannmurforfatterne er engasjert i en slik intellektuell analyse av meldinger som går gjennom nettverket for å identifisere ulike typer fjernangrep, og begrenser seg i beste fall til logging, som registrerer informasjon om forsøk på å brute-force passord for TELNET og FTP, port skanner og skanner nettverket ved å bruke det berømte programmet for eksternt søk etter kjente sårbarheter i nettverksoperativsystemer - SATAN. Derfor, hvis administratoren av IP-nettverket ikke ønsker å forbli likegyldig og være fornøyd med rollen som en enkel statistiker under eksterne angrep på nettverket hans, er det tilrådelig for ham å bruke Network Security Monitor. IP Alert-1... Husk forresten at Tsutomu Shimomura var i stand til å logge angrepet av Kevin Mitnick, på mange måter, tilsynelatende, takket være tcpdump-programmet - den enkleste analysatoren for IP-trafikk.

Ris. 3. Network Security Monitor IP Alert-1.

4. Markedet for sikkerhetssystemer

4.1. Hovedmarkedstrender: statistikk og prognoser

Som du vet, eier den som eier informasjon verden. Men i dag høres et annet, ikke mindre relevant utsagn mer og mer overbevisende ut: den som eier informasjon er konstant redd for å miste den eller miste kontrollen over den.

I følge mange analytikere endret hackingen seg betydelig i 2001: hvis hackeren tidligere hovedsakelig handlet en-til-en med målet for angrepet (det vil si i hovedsak upolitisk), kan vi nå snakke om gruppehandlinger fra hackere, som i det raskt skiftende miljøet i moderne verden har verden blitt et landemerkefenomen. Et angrep er ikke lenger bare en måte å uttrykke seg på og ikke et «utstillingsvindu», men et verktøy for å treffe et mål. Studier viser at datanettverket (CN) er svært sårbart nesten overalt, derfor innebærer intensiveringen av denne typen aktivitet en direkte fare, spesielt i en tid med spenning i forholdet mellom ulike politiske grupper og stater. Eksperter påpeker at de fleste av de store nettverksressursene fortsatt er sårbare.

Basert på studier av generelle trender innen informasjonssikkerhet i IT-sektoren kan det konkluderes med at bedrifter ganske inert endrer sin informasjonspolitikk innen informasjonssikkerhet, at deres strategiske visjon stadig henger etter i dekningen av prospekter, og deres praksis for håndtering av personopplysninger og sikkerhetsnivået til infrastrukturer med arbeidskraft kan kalles tilfredsstillende. Argumentene som støtter denne påstanden er imponerende tall. For eksempel korrelerer de fleste bedrifter ikke aktivitetene sine i tilstrekkelig grad med eksisterende trusler: for eksempel fjerner/endrer bare én bedrift av 10 passord etter at en ansatt er permittert, selv om 80 % av bedriftene har passende regelverk. Forskningsresultater indikerer en svak forpliktelse fra organisasjoner til å revidere informasjonssikkerhetsspørsmål (35 %), minimal innsats for å stimulere til juridisk etterforskning av hendelser (17 %) og mangel på forståelse av kildene til trusler (79 % mener fortsatt at faren kommer fra utsiden, selv om statistikk viser det motsatte). Studier har vist at 60 % av topplederne anser informasjonssikkerhet for selskaper som et teknologiproblem (et teknologiproblem) og bare (40 %) - som et strategisk forretningsproblem for et selskaps virksomhet.

Til tross for ovennevnte fakta, er det for tiden en klar økning i offentlig oppmerksomhet til problemene med informasjonssikkerhet, til spekteret av relasjoner som vanligvis kalles elektronisk sikkerhet. Dette bekreftes av følgende. Ifølge eksperter fra det analytiske selskapet IDC vil etterspørselen etter Internett-sikkerhetssystemer vokse raskt i de kommende årene, noe som vil gjøre denne markedssektoren til en av de mest lønnsomme. I følge IDC-beregninger vil den gjennomsnittlige årlige veksten i markedet for Internett-sikkerhetssystemer de neste fem årene være 23 %, og innen 2005 vil markedet nå 14 milliarder dollar. I følge IDC-eksperter ligger hovedpotensialet i sektoren for programvareprodukter utviklet for sikker autentisering, autorisasjon og administrasjon, - i den såkalte sektoren for produkter i gruppe 3A (Administrasjon, Autorisasjon, Autentisering). I følge IDC består 3A iav implementeringer av administrasjons-, autorisasjons- og autentiseringsfunksjoner som brukes til å administrere sikkerhet på individuelle datasystemer eller innenfor et bedriftsrammeverk, og inkluderer prosesser for å definere, opprette, endre, slette og revidere brukere. Den samme kilden anslår at denne sektoren vil vokse med 28 % årlig, og innen 2005 vil den okkupere 67 % av markedet.

Det er kjent at en av faktorene som holder tilbake utviklingen av e-handel er sikkerhetsproblemet. Ifølge en studie fra Confederation of British Industry (CBI), tror bedrifter mer på sikkerheten til B2B-drift. Mer enn halvparten av bedriftene undersøkt av CBI sa at de stoler på B2B-handel, mens bare 32 % sa det om B2C-drift. Selv om svindel med bankkort utgjør omtrent 4 % av antallet alvorlige hendelser, bemerker CBI-analytikere at frykten for svindel fortsetter å holde tilbake utviklingen av e-business, spesielt B2C-sektoren.

Blant andre viktige markedstrender bør det bemerkes at bedrifter ennå ikke er klare til å beskytte seg selv og yte en trygg tjeneste, siden de ikke har nok kvalifisert personell (70,5%) og de er strategisk ute av stand til å beregne hvor lønnsomt introduksjonen av nye sikkerhetspraksis vil være (45,9%). Dette er langt fra oppmuntrende resultater som ble avslørt i løpet av en studie om Japan, som på ingen måte er et teknologisk tilbakestående land. Eksperter hevder at det er en akutt mangel på personell innen nettverkssikkerhet, som effektivt kan løse de relevante oppgavene.

En av de siste meningsmålingene det siste året registrerte økende amerikanske bekymringer om personvern og nettverkssikkerhetsproblemer. Og selv om hovedvekten ble lagt på å vurdere sikkerheten til bedrifts- og myndighetsnettverk, i den generelle konteksten av svarene, er det angst i forhold til alt som omgir mennesker i denne usikre verden: at 71 % av de spurte sa at de er bekymret. om problemet med sikkerhet i COP, og 78 % er bekymret for muligheten for tyveri eller annen uautorisert bruk av deres personopplysninger i COP.

Trådløs sikkerhet fortsetter å være en bekymring for bedrifter og brukere. Begge frykter at hackere skal kunne avskjære informasjon i farten. I tillegg er brukernes tap av mobile enheter som inneholder konfidensiell informasjon et potensielt problem.

4.2. Sikkerhetsmarkedets struktur

Det som ble kalt datasikkerhet på 60-tallet og datasikkerhet på 70-tallet kalles nå mer nøyaktig informasjonssikkerhet. Informasjonssikkerhet inkluderer tiltak for å beskytte prosessene for dataskaping, inndata, behandling og utdata. Hovedmålet er å beskytte og sikre informasjonens nøyaktighet og integritet, for å minimere skaden som kan oppstå dersom informasjonen endres eller ødelegges. Informasjonssikkerhet krever at man tar hensyn til alle hendelsene når informasjon opprettes, endres, når den er tilgjengelig og når den distribueres.

Informasjonssikkerhet garanterer oppnåelse av følgende mål:

· Konfidensialitet av kritisk informasjon;

· Integriteten til informasjon og relaterte prosesser (oppretting, input, prosessering og output);

· Tilgjengelighet av informasjon, om nødvendig;

· Regnskapsføring av alle prosesser knyttet til informasjon.

Generelt sett kan sikkerhetsmarkedet for informasjonssystemer betinget deles inn i to ideologisk urelaterte områder.

Den første retningen setter som mål informasjonsbeskyttelse av nettverk, det vil si beskyttelse av informasjon som sirkulerer innenfor informasjonsnettverk. Foreløpig er det den mest etterspurte, og derfor godt utviklet. Dette inkluderer ulike antivirus, brannmurer, kryptografiske verktøy, sikkerhetsprotokoller, digitale signaturer, etc. Det mest pålitelige verktøyet i dag er offentlig nøkkelkryptering.

Det andre området, som har vært i rask utvikling de siste årene, er knyttet til direkte beskyttelse av nettverksobjekter. Denne trenden er hovedsakelig representert av mekaniske enheter som hindrer tilgang til maskinvare, det vil si til servere, personlige datamaskiner, etc. Hovedoppgaven til disse enhetene er å forhindre inntrengeren i å åpne datamaskinen ved hjelp av forskjellige festemidler, låser, beskyttelsesdeksler, etc. I arsenalet finnes det også programvareverktøy som lar deg finne stjålne datamaskiner etter at de minst én gang har vært koblet til telefonnettet eller til Internett. Disse programmene har to deler: klienten og datasenteret. Etter at klienten er installert på datamaskinen, kontakter den med jevne mellomrom (hvert 15. minutt) senteret og overfører tilgjengelig informasjon om datamaskinens nåværende status (IP-adresse, telefonnummer som datamaskinen er koblet til, osv.). Klienten er installert på en slik måte at den er beskyttet mot formatering av harddisken, og ikke er synlig ved bruk av de vanlige virkemidlene til operativsystemet (prosessvisere). Et annet alternativ for å implementere den andre retningen er at datamaskiner, ved hjelp av ekstra ledninger og spesielle sensorer som er festet på baksiden av datamaskinen, kombineres til et nettverk som er forskjellig fra dataoverføringsnettverket, og koblet til en maskinvareenhet som er i stand til å registrere uautorisert tilgang og utløsning av en alarm ...

Mest sannsynlig vil vi i nær fremtid være vitne til integreringen av disse to områdene, noe som er et naturlig skritt mot å øke nivået på informasjonsbeskyttelse. Og som et resultat av en slik integrasjon vil et slags universelt sikkerhetssystem kunne vises, og sikkerhetsadministratoren vil ha en enkelt arbeidsplass hvorfra han vil kunne kontrollere rekkefølgen på databehandling og integriteten til objekter. Installasjon av et slikt system krever ikke ekstra kabling, og driften vil ikke på noen måte påvirke ytelsen til dataoverføringsnettverket.

4.3. Markedsledere innen sikkerhetssystemer

Symantec Corporation

Symantec Corporation, en av verdenslederne innen Internett-sikkerhetsløsninger, er en ledende leverandør av sikkerhetsløsninger på markedet. Symantecs Norton-merke samler en serie med verdensledende sikkerhetsprodukter i både detaljhandel og bransjepriser. Symantec har hovedkontor i Cupertino, NY. California. Selskapet har kontorer i 37 land.

Gartner Dataquest kåret selskapet til en global leder innen levering av programvare for informasjonssikkerhet. Dette anslaget er basert på volumet av inntekter fra salg av nye lisenser i 2000. Gartner Dataquest-rapporten viser at Symantecs vekst har overgått sikkerhetsmarkedet, med Symantecs inntekter som har vokst med 40 % år over år. "Fusjonen med Axent i desember 2000 flyttet Symantec Corporation fra 4. til 1. plass på listen, og tok over 14,7 % av sikkerhetsmarkedet," heter det i rapporten. Symantecs sikkerhetsprogramvare, i henhold til Gartner Dataquest-klassifiseringen, inkluderer: antivirusprogramvare, krypteringsprogrammer, inntrengningsdeteksjonsverktøy og andre informasjonssikkerhetsverktøy - brannmurer, webfiltreringsprogrammer, applikasjoner for å kontrollere tilgang til eksterne nettverk. Symantec tilbyr antivirus, brannmur, VPN, sikkerhetssårbarhet og inntrengningsdeteksjon, Internett- og e-postfiltrering, fjernadministrasjonsteknologier og informasjonssikkerhetstjenester.

Network Associates, Inc.

Dette selskapet, som Symantec, dominerer selvsikkert markedet for sikkerhetssystemer, og kontrollerer rundt 60 % av det globale antivirusmarkedet. Ifølge Network Associates, Inc. (NAI) den har over 60 millioner brukere over hele verden. NAI tilbyr et av de mest funksjonelle og forbrukerorienterte programmene som beskytter, administrerer og overvåker bedriftsnettverk. Funksjonaliteten og bredden av løsningene som tilbys av Network Associates kompletteres av funksjoner anskaffet fra Pretty Good Privacy (PGP) og Magic Solutions, samt de kraftige antivirusverktøyene Dr. Solomon's, den første versjonen av disse ble utgitt tidlig i 1997 av Dr. Solomons programvare. McAfee (en avdeling av Network Associates, Inc.) rapporterer at McAfee GroupShield Exchange har vunnet Secure Computing Magazine Best Buy-prisen for tredje år på rad, og vant MS Exchange antivirus-sammenligningstesten. McAfee GroupShield fikk toppkarakterer i Microsoft Exchange Antivirus Comparison 2001, og slo produkter fra andre antivirusleverandører som Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates og andre.

Selskap Computer Associates International, Inc.

IDC-rapporten identifiserte Computer Associates International, Inc. (CA) som en ledende leverandør av programvare for autentisering, autorisasjon og administrasjon (3A) med 15,5 % av det globale markedet. I 2001 identifiserte IDCs globale markedsprognose og analyse for Internett-sikkerhetsprogramvare for 2001-2005 CA som verdens ledende leverandør av Internett-sikkerhetsprogramvare for andre år på rad. CA tilbyr 3A-løsninger gjennom eTrust-produktfamilien (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control og eTrust Intrusion Detection). "CA er den klare globale lederen innen informasjonssikkerhetsløsninger, både når det gjelder teknologieffektivitet og total markedsstørrelse," sa CAs VP for eTrust Solutions, Barry Keyes. "Fordelene med vår nye lisensieringsforretningsmodell, omfattende tekniske tjenester og transparente, integrerte e-business management-løsninger har gjort oss i stand til å levere et uovertruffent verditilbud til sikkerhetsledere og tjenesteleverandører for bedrifter." eTrust-produktfamilien gjør det mulig for lederteamet å sikre, administrere tilgang og sikre administrasjon og sikkerhet for et ende-til-ende automatisert system. ETrust er i samsvar med gjeldende databeskyttelsesstandarder, og sikrer interoperabilitet med eksisterende interne sikkerhetsmekanismer og nettverkspartnere.

Avslutningsvis vil jeg nok en gang bemerke at problemet med informasjonssikkerhet blir mer og mer påtrengende for hvert år. Og markedet, som svarer på den enorme etterspørselen, vil helt sikkert tilby, og forresten, allerede tilby, pålitelige og ganske verdige sikkerhetsløsninger. Og det viktigste nå er på noen måte å stoppe utbruddet av informasjonskaos, som provoseres av amatører til å se seg over skuldrene eller rote i andres elektroniske porteføljer. Og for dette må alle velge selv et pålitelig middel for informasjonsbeskyttelse, som vil gi ham riktig informasjonssikkerhet.

Konklusjon

Opprinnelig ble nettverket opprettet som et ubeskyttet åpent system beregnet for informasjonskommunikasjon av et økende antall brukere.

Samtidig skal tilknytningen av nye brukere være så enkel som mulig, og tilgang til informasjon skal være den mest praktiske. Alt dette er klart i strid med prinsippene for å skape et sikkert system, hvis sikkerhet må beskrives på alle stadier av opprettelsen og driften, og brukerne må være utstyrt med klare krefter.

Skaperne av nettverket strevde ikke etter dette, og sikkerhetskravene ville komplisere prosjektet så mye at de ville gjøre det knapt mulig.

Konklusjon: Internett ble opprettet som et ubeskyttet system, ikke beregnet for lagring og behandling av konfidensiell informasjon. Dessuten ville det beskyttede Internett ikke kunne bli det systemet det er nå, og vil ikke bli til et informasjonsbilde av verdenskulturen, dens fortid og nåtid. Dette er den uavhengige verdien av nettet, og muligens er dets usikkerhet prisen å betale for et så høyt oppdrag.

Konsekvens: Det er mange brukere som er interessert i å gjøre Internett til et system med kategorisert informasjon og brukerrettigheter underlagt en definert sikkerhetspolicy.

Imidlertid begynner de lyseste kreasjonene av menneskesinnet etter en stund å leve et uavhengig liv, utvikle seg og gå utover de opprinnelige intensjonene til skaperne deres. Derfor har den svake sikkerheten til nettverket over tid blitt mer og mer bekymret for brukerne.

Etter vår mening bør det ikke være noen informasjon på Internett, hvis utlevering vil føre til alvorlige konsekvenser. Tvert imot er det nødvendig å legge ut informasjon på Internett, hvis spredning er ønskelig for eieren. Samtidig er det alltid nødvendig å ta hensyn til at denne informasjonen til enhver tid kan bli fanget opp, forvrengt eller kan bli utilgjengelig. Spørsmålet bør følgelig ikke dreie seg om sikkerheten til Internett, men om å sikre rimelig tilstrekkelig informasjonssikkerhet til nettverket.

Dette utelukker selvfølgelig ikke behovet for å gjøre brukeren kjent med det rike og stadig voksende arsenalet av programvare og maskinvare for å sikre nettverksinformasjonssikkerhet. Vær imidlertid oppmerksom på at de ikke er i stand til å forvandle Internett til et sikkert miljø, noe som vil bety at dets natur endres.

Vil Internett være sikkert? Utviklingen av Internett-sikkerhetsverktøy kan komme i konflikt med formålet og forvrenge selve ideen om nettet. Det er mer legitimt å reise spørsmålet om å skape en spesialisert trygg verdensinfosfære designet for å håndtere verdensproduksjon, transport og geopolitikk. Tilsynelatende vil fremgang føre til behovet for å lage et slikt enhetlig system. Et slikt kommunikasjonsmiljø vil ha en sikkerhetsarkitektur og garantere integriteten og konfidensialiteten til informasjon. Det er klart at skaperne av dette systemet må sørge for at de politiske og økonomiske interessene til verdens aktører blir respektert, siden eierskap på flere felt av dette systemet betyr kontroll over verden.

Det er klart at et slikt medium ikke kan være Internett i sin nåværende form. Hovedsaken, etter vår mening, er å avstå fra å strebe etter å bringe dagens Internett nærmere et slikt miljø for å administrere verden. Internett er bra på sin måte som det er.

Hva er utsiktene til å beskytte informasjonssystemer i en tid med integrering av informasjonsbehandlingsmiljø? Etter vår mening består veien ut av denne situasjonen i en klar avgrensning av informasjon av vital interesse for fag - brukere - og opprettelse av spesialiserte systemer for behandlingen av den. Slike systemer bør kunne integreres i det globale nettverket samtidig som de sikrer enveis informasjonsisolasjon.

ComputerPress 8 "1999

Lukatskiy A.V. Angrepsdeteksjonssystemer // Bankteknologier. 1999. Nr. 2.

ComputerPress 10 "2001

ComputerPress 3 "2002

Forelesning 33 Typer og typer nettverksangrep

Forelesning 33

Emne: Typer og typer nettverksangrep

Eksternt nettverksangrep er en informasjonsdestruktiv effekt på et distribuert datasystem, utført programmatisk gjennom kommunikasjonskanaler.

Introduksjon

For å organisere kommunikasjon i et heterogent nettverksmiljø, brukes et sett med TCP / IP-protokoller, som sikrer kompatibilitet mellom datamaskiner av forskjellige typer. Dette settet med protokoller ble populær på grunn av kompatibilitet og tilgang til ressursene til det globale Internett og ble standarden for internettarbeid. Imidlertid har allestedsnærværet til TCP / IP-stakken også avslørt svakhetene. Spesielt på grunn av dette er distribuerte systemer mottakelige for eksterne angrep, siden komponentene deres vanligvis bruker åpne dataoverføringskanaler, og inntrengeren kan ikke bare passivt lytte til den overførte informasjonen, men også endre den overførte trafikken.

Vanskeligheten med å oppdage et eksternt angrep og den relative enkle å utføre (på grunn av den overflødige funksjonaliteten til moderne systemer) bringer denne typen ulovlige handlinger til første plass når det gjelder graden av fare og hindrer en rettidig respons på trusselen som har blitt implementert, som et resultat av at angriperen øker sjansene for vellykket implementering av angrepet.

Angrepsklassifisering

Av påvirkningens art

Passiv

Aktiv

En passiv påvirkning på et distribuert datasystem (DCS) er en slags påvirkning som ikke direkte påvirker driften av systemet, men samtidig kan det bryte med sikkerhetspolitikken. Fraværet av en direkte påvirkning på driften av DCS fører nettopp til det faktum at den passive fjernpåvirkningen (PEL) er vanskelig å oppdage. Et mulig eksempel på en typisk RCS i en DCS er å lytte til en kommunikasjonskanal i et nettverk.

En aktiv innvirkning på DCS er en påvirkning som har en direkte innvirkning på driften av selve systemet (feil, endring av DCS-konfigurasjonen, etc.), som bryter med sikkerhetspolicyen som er vedtatt i den. Nesten alle typer fjernangrep er aktive påvirkninger. Dette skyldes det faktum at et aktivt prinsipp er inkludert i selve arten av skadevirkningen. En klar forskjell mellom aktiv og passiv innflytelse er den grunnleggende muligheten for deteksjon, siden det oppstår noen endringer i systemet som et resultat av implementeringen. Med en passiv påvirkning gjenstår absolutt ingen spor (på grunn av at angriperen ser på andres melding i systemet, endres faktisk ingenting i samme øyeblikk).

Etter formålet med virkningen

Brudd på funksjonen til systemet (tilgang til systemet)

Brudd på integriteten til informasjonsressurser (IR)

Brudd på IR-konfidensialitet

Dette kriteriet, som klassifiseringen gjøres etter, er faktisk en direkte projeksjon av de tre grunnleggende typene trusler - tjenestenekt, avsløring og krenkelse av integritet.

Hovedmålet som forfølges i nesten alle angrep er å få uautorisert tilgang til informasjon. Det er to grunnleggende alternativer for å få informasjon: forvrengning og avlytting. Muligheten for å avskjære informasjon innebærer å få tilgang til den uten mulighet for å endre den. Avlytting av informasjon fører derfor til brudd på konfidensialiteten. Å lytte til en kanal på nettverket er et eksempel på informasjonsavlytting. I dette tilfellet er det illegitim tilgang til informasjon uten mulige alternativer for erstatning. Det er også åpenbart at brudd på konfidensialitet av informasjon refererer til passiv påvirkning.

Evnen til å erstatte informasjon skal forstås enten som fullstendig kontroll over informasjonsflyten mellom systemobjekter, eller muligheten til å overføre ulike meldinger på vegne av noen andre. Derfor er det klart at erstatning av informasjon fører til brudd på integriteten. Slik informasjonsdestruktiv påvirkning er et typisk eksempel på aktiv påvirkning. Et eksempel på et eksternt angrep designet for å krenke integriteten til informasjon kan være et eksternt angrep (UA) "False object of the RCS".

Ved tilstedeværelse av tilbakemelding med det angrepne objektet

Med tilbakemelding

Åpen sløyfe (enveis angrep)

Angriperen sender noen forespørsler til det angrepne objektet, som han forventer å få svar på. Følgelig dukker det opp en tilbakemelding mellom angriperen og den angrepne, slik at førstnevnte kan reagere tilstrekkelig på alle slags endringer på det angrepne objektet. Dette er essensen av et eksternt angrep utført i nærvær av tilbakemelding fra det angripende objektet. Slike angrep er mest typiske for RVS.

Open-loop-angrep kjennetegnes ved at de ikke trenger å reagere på endringer på det angrepne objektet. Slike angrep utføres vanligvis ved å sende enkeltforespørsler til det angrepne objektet. Angriperen trenger ikke svar på disse forespørslene. Denne UA kan også kalles en ensrettet UA. Et eksempel på enveis angrep er et typisk DoS-angrep.

Etter tilstanden til begynnelsen av virkningen

Fjernpåvirkning, som alle andre, kan begynne å utføres bare under visse forhold. Det er tre typer slike betingede angrep i RVS:

On-demand angrep fra det angrepne objektet

Angrep ved forekomsten av den forventede hendelsen på det angrepne objektet

Ubetinget angrep

Angriperen vil begynne å påvirke under forutsetning av at det potensielle målet for angrepet sender en forespørsel av en bestemt type. Et slikt angrep kan kalles et forespørselsangrep fra det angrepne objektet. Denne typen UA er mest typisk for RVS. Et eksempel på slike spørringer på Internett er DNS- og ARP-spørringer, og i Novell NetWare, en SAP-spørring.

Angrep på forekomsten av den forventede hendelsen på det angrepne objektet. Angriperen overvåker kontinuerlig OS-tilstanden til det eksterne målet for angrepet og starter påvirkningen når en spesifikk hendelse inntreffer i dette systemet. Det angrepne objektet er selv initiativtakeren til angrepet. Et eksempel på en slik hendelse vil være avbrudd av en brukerøkt med serveren uten å gi en LOGOUT-kommando i Novell NetWare.

Et ubetinget angrep utføres umiddelbart og uavhengig av tilstanden til operativsystemet og det angrepne objektet. Derfor er angriperen initiativtaker til starten på angrepet i dette tilfellet.

Ved en feil i systemet etterfølges andre mål og en angriper forventes ikke å få ulovlig tilgang til data. Formålet er å deaktivere operativsystemet på det angrepne objektet og umuligheten av tilgang for andre objekter i systemet til ressursene til dette objektet. Et eksempel på denne typen angrep er DoS-angrepet UA.

Ved plasseringen av angrepsobjektet i forhold til det angrepne objektet

Intra-segment

Intersegment

Noen definisjoner:

Kilden til angrepet (objektet for angrepet) er programmet (eventuelt operatøren), som leder angrepet og utfører direkte handling.

Vert (vert) - en datamaskin som er en del av nettverket.

En ruter er en enhet som gir ruting av pakker på et nettverk.

Et undernettverk er en gruppe verter som er en del av et globalt nettverk og kjennetegnes av det samme undernettnummeret som ruteren har tildelt dem. Du kan også si at et subnett er en logisk sammenslutning av verter gjennom en ruter. Verter innenfor samme subnett kan kommunisere direkte med hverandre uten å bruke en ruter.

Et nettverkssegment er en gruppering av verter på det fysiske laget.

Fra et eksternt angreps synspunkt er den relative posisjonen til subjektet og gjenstanden for angrepet ekstremt viktig, det vil si om de er i forskjellige eller i samme segmenter. Under et intra-segment-angrep er motivet og objektet for angrepet plassert i samme segment. Ved et angrep på tvers av segmenter er motivet og målet for angrepet på forskjellige nettverkssegmenter. Denne klassifiseringsfunksjonen gjør det mulig å bedømme den såkalte "graden av fjernhet" av angrepet.

Det vil bli vist nedenfor at praktisk talt et intra-segment-angrep er mye lettere å utføre enn et intersegment-angrep. Merk også at et fjernangrep på tvers av segmenter utgjør en mye større fare enn et intra-segment. Dette skyldes det faktum at i tilfelle et intersegment-angrep, kan objektet og den direkte angriperen lokaliseres i en avstand på mange tusen kilometer fra hverandre, noe som betydelig kan hindre tiltak for å avvise angrepet.

Etter nivået til ISO / OSI-referansemodellen som påvirkningen utføres på

Fysisk

Kanal

Nettverk

Transportere

Økt

Representant

Anvendt

Den internasjonale organisasjonen for standardisering (ISO) tok i bruk ISO 7498-standarden, som beskriver interoperabiliteten til åpne systemer (OSI), som også PBC tilhører. Hver, så vel som hvert nettverksprogram, kan på en eller annen måte projiseres på 7-lags OSI-referansemodellen. En slik lagdelt projeksjon gjør det mulig å beskrive funksjonene som brukes i en nettverksprotokoll eller et program ut fra OSI-modellen. UA er et nettverksprogram, og det er logisk å vurdere det fra et projeksjonssynspunkt på ISO / OSI-referansemodellen.

En kort beskrivelse av noen nettverksangrep

Datafragmentering

Ved overføring av en IP-datapakke over et nettverk kan denne pakken deles inn i flere fragmenter. Deretter, når de når destinasjonen, blir pakken gjenvunnet fra disse fragmentene. En angriper kan starte sendingen av et stort antall fragmenter, noe som fører til et overløp av programvarebuffere på mottakersiden og, i noen tilfeller, til en unormal systemavslutning.

Ping flomangrep

Dette angrepet krever at angriperen får tilgang til raske Internett-kanaler.

Ping-programmet sender en ICMP ECHO REQUEST-pakke med tid og ID. Mottakermaskinens kjerne svarer på en slik forespørsel med en ICMP ECHO REPLY-pakke. Når ping mottar den, rapporterer den hastigheten på pakken.

I standard driftsmodus sendes pakker ut med intervaller, praktisk talt ikke laster nettverket. Men i "aggressiv" modus kan en strøm av ICMP-ekkoforespørsels-/svarpakker overbelaste en liten linje, og frata den muligheten til å overføre nyttig informasjon.

IP-innkapslede ikke-standardprotokoller

IP-pakken inneholder et felt som definerer protokollen til den innkapslede pakken (TCP, UDP, ICMP). Angripere kan bruke en ikke-standard verdi av dette feltet for å overføre data som ikke vil bli fanget opp med standard midler for informasjonsflytkontroll.

Smurfeangrep

Smurfeangrepet består i å sende ICMP-sendinger til nettverket på vegne av offerets datamaskin.

Som et resultat reagerer datamaskiner som har mottatt slike kringkastingspakker på offerets datamaskin, noe som fører til en betydelig reduksjon i båndbredden til kommunikasjonskanalen og, i noen tilfeller, fullstendig isolasjon av det angrepne nettverket. Smurfeangrepet er ekstremt effektivt og utbredt.

Mottiltak: For å gjenkjenne dette angrepet er det nødvendig å analysere kanalbelastningen og bestemme årsakene til reduksjonen i gjennomstrømming.

DNS-spoofing-angrep

Resultatet av dette angrepet er introduksjonen av tvungen korrespondanse mellom IP-adressen og domenenavnet i DNS-serverbufferen. Som et resultat av en vellykket implementering av et slikt angrep vil alle brukere av DNS-serveren motta feil informasjon om domenenavn og IP-adresser. Dette angrepet er preget av et stort antall DNS-pakker med samme domenenavn. Dette er på grunn av behovet for å velge noen DNS-utvekslingsparametere.

Mottiltak: for å oppdage et slikt angrep er det nødvendig å analysere innholdet i DNS-trafikk eller bruke DNSSEC.

IP spoofing angrep

Et stort antall angrep på Internett innebærer forfalskning av den opprinnelige IP-adressen. Slike angrep inkluderer også syslog-spoofing, som innebærer å sende en melding til en offerdatamaskin på vegne av en annen datamaskin på det interne nettverket. Siden syslog-protokollen brukes til å vedlikeholde systemlogger, er det mulig å pålegge informasjon eller dekke spor etter uautorisert tilgang ved å sende falske meldinger til offerets datamaskin.

Motaksjon: oppdagelse av angrep relatert til forfalskning av IP-adresser er mulig ved å overvåke mottaket på et av grensesnittene til en pakke med kildeadressen til det samme grensesnittet eller ved å overvåke mottak av pakker med IP-adresser til det interne nettverket på det eksterne nettverket grensesnitt.

Håndheve pakker

Angriperen sender pakker til nettverket med en falsk returadresse. Med dette angrepet kan en angriper bytte forbindelser mellom andre datamaskiner til datamaskinen sin. I dette tilfellet blir angriperens tilgangsrettigheter lik rettighetene til brukeren hvis tilkobling til serveren ble byttet til angriperens datamaskin.

Sniffing - lytter til en kanal

Kun mulig i det lokale nettverkssegmentet.

Nesten alle nettverkskort støtter muligheten til å fange opp pakker som sendes over en felles LAN-kanal. I dette tilfellet kan arbeidsstasjonen motta pakker adressert til andre datamaskiner på samme nettverkssegment. Dermed blir all informasjonsutveksling i nettverkssegmentet tilgjengelig for angriperen. For at dette angrepet skal lykkes, må angriperens datamaskin være plassert på samme LAN-segment som den angrepne datamaskinen.

Fange pakker på en ruter

Ruterens nettverksprogramvare har tilgang til alle nettverkspakker som sendes gjennom denne ruteren, noe som tillater pakkefangst. For å utføre dette angrepet må en angriper ha privilegert tilgang til minst én ruter på nettverket. Siden mange pakker vanligvis overføres gjennom en ruter, er fullstendig avskjæring nesten umulig. Imidlertid kan individuelle pakker godt bli fanget opp og lagret for senere analyse av en angriper. Den mest effektive avskjæringen av FTP-pakker som inneholder brukerpassord, samt e-post.

Påtvinge en falsk rute på en vert ved hjelp av ICMP

På Internett er det en spesiell ICMP (Internet Control Message Protocol) protokoll, en av funksjonene til denne er å informere verter om endring av gjeldende ruter. Denne kontrollmeldingen kalles omdirigering. Det er mulig å sende en falsk omdirigeringsmelding på vegne av ruteren til den angrepne verten fra hvilken som helst vert i nettverkssegmentet. Som et resultat endres vertens gjeldende rutingtabell, og i fremtiden vil all nettverkstrafikk til denne verten for eksempel gå gjennom verten som sendte en falsk omdirigeringsmelding. Dermed er det mulig å aktivt pålegge en falsk rute innenfor ett segment av Internett.

Sammen med de vanlige dataene som sendes over en TCP-tilkobling, sørger standarden også for overføring av hastedata (Out Of Band). På nivået av TCP-pakkeformater uttrykkes dette som en ikke-null presserende peker. De fleste PC-er med Windows installert har NetBIOS-nettverksprotokollen, som bruker tre IP-porter for sine behov: 137, 138, 139. Hvis du kobler til en Windows-maskin på port 139 og sender noen få OutOfBand-databyte dit, vil NetBIOS-implementeringen uten å vite hva den skal gjøre med disse dataene, legger den bare på eller starter maskinen på nytt. For Windows 95 ser dette vanligvis ut som en blå tekstskjerm som rapporterer en feil i TCP/IP-driveren, og manglende evne til å jobbe med nettverket før operativsystemet startes på nytt. NT 4.0 starter på nytt uten oppdateringspakker, NT 4.0 med ServicePack 2-pakke faller på en blå skjerm. Etter informasjonen fra nettverket å dømme, er både Windows NT 3.51 og Windows 3.11 for Workgroups mottakelige for et slikt angrep.

Sending av data til port 139 resulterer i en omstart av NT 4.0, eller en "blue screen of death" med installert Service Pack 2. En lignende sending av data til 135 og noen andre porter fører til en betydelig belastning av RPCSS.EXE-prosessen. På Windows NT WorkStation fører dette til en betydelig nedgang, Windows NT Server fryser praktisk talt.

Forfalskning av pålitelig vert

Vellykkede eksterne angrep av denne typen vil tillate en angriper å logge seg på serveren på vegne av en pålitelig vert. (Trusted host er en stasjon som er lovlig koblet til serveren). Gjennomføringen av denne typen angrep består vanligvis i å sende utvekslingspakker fra angriperens stasjon på vegne av en klarert stasjon under hans kontroll.

Angrepsdeteksjonsteknologier

Nettverks- og informasjonsteknologier endrer seg så raskt at statiske beskyttelsesmekanismer, som inkluderer tilgangskontrollsystemer, ME, autentiseringssystemer, i mange tilfeller ikke kan gi effektiv beskyttelse. Derfor kreves dynamiske metoder for raskt å oppdage og forhindre sikkerhetsbrudd. En teknologi som kan oppdage brudd som ikke kan identifiseres ved hjelp av tradisjonelle tilgangskontrollmodeller, er teknologi for inntrengningsdeteksjon.

I hovedsak er prosessen med å vurdere mistenkelig aktivitet som skjer på bedriftens nettverk. Med andre ord er inntrengningsdeteksjon prosessen med å identifisere og svare på mistenkelig aktivitet rettet mot databehandling eller nettverksressurser.

Metoder for å analysere nettverksinformasjon

Effektiviteten til et inntrengningsdeteksjonssystem avhenger i stor grad av metodene som brukes for å analysere informasjonen som mottas. De første utviklet på begynnelsen av 1980-tallet brukte statistiske teknikker for å oppdage angrep. For tiden er en rekke nye teknikker lagt til statistisk analyse, fra ekspertsystemer og uklar logikk til bruk av nevrale nettverk.

Statistisk metode

Hovedfordelene med den statistiske tilnærmingen er bruken av det allerede utviklede og utprøvde apparatet for matematisk statistikk og tilpasning til fagets oppførsel.

Først bestemmes profiler for alle fagene i det analyserte systemet. Ethvert avvik fra referanseprofilen som brukes anses som uautorisert aktivitet. Statistiske metoder er universelle, siden analyse ikke krever kunnskap om mulige angrep og sårbarhetene de bruker. Men når du bruker disse teknikkene, er det også problemer:

"Statistiske" systemer er ufølsomme for hendelsesrekkefølgen; i noen tilfeller kan de samme hendelsene, avhengig av rekkefølgen, karakterisere unormal eller normal aktivitet;

Det er vanskelig å sette grenseverdiene (terskelverdiene) til egenskapene som overvåkes av inntrengningsdeteksjonssystemet for å identifisere uregelmessig aktivitet på en adekvat måte;

"Statistiske" systemer kan "trenes" over tid av angripere, slik at angrepshandlinger anses som normale.

Det bør også huskes på at statistiske metoder ikke er anvendelige i tilfeller der det ikke er noe typisk atferdsmønster for brukeren eller når uautoriserte handlinger er typiske for brukeren.

Ekspertsystemer

Ekspertsystemer er sammensatt av et sett med regler som omfatter kunnskapen til en menneskelig ekspert. Bruk av ekspertsystemer er en vanlig metode for å oppdage angrep, hvor informasjon om angrep formuleres i form av regler. Disse reglene kan for eksempel skrives som en sekvens av handlinger eller som en signatur. Når noen av disse reglene følges, tas det en beslutning om tilstedeværelsen av uautorisert aktivitet. En viktig fordel med denne tilnærmingen er det nesten fullstendige fraværet av falske alarmer.

Databasen til ekspertsystemet bør inneholde scenariene for de fleste av de kjente angrepene. For å holde seg konstant oppdatert krever ekspertsystemer konstante databaseoppdateringer. Selv om ekspertsystemer tilbyr en god mulighet til å se dataene i loggene, kan de nødvendige oppdateringene enten ignoreres eller utføres manuelt av administratoren. Dette fører i det minste til et svekket ekspertsystem. I verste fall reduserer mangelen på riktig vedlikehold sikkerheten til hele nettverket, og villeder brukerne om det faktiske sikkerhetsnivået.

Den største ulempen er umuligheten av å avvise ukjente angrep. Samtidig kan selv en liten endring i et allerede kjent angrep bli en alvorlig hindring for funksjonen til inntrengningsdeteksjonssystemet.

Nevrale nettverk

De fleste moderne angrepsdeteksjonsmetoder bruker en eller annen form for regelbasert eller statistisk analyse av kontrollert rom. Det overvåkede området kan være logger eller nettverkstrafikk. Analysen er avhengig av et sett med forhåndsdefinerte regler som er opprettet av administratoren eller av inntrengningsdeteksjonssystemet selv.

Enhver oppdeling av et angrep i tid eller mellom flere angripere er vanskelig å oppdage med ekspertsystemer. På grunn av det store utvalget av angrep og hackere, vil selv spesielle konstante oppdateringer til databasen av reglene til ekspertsystemet aldri garantere nøyaktig identifikasjon av hele spekteret av angrep.

Bruken av nevrale nettverk er en av måtene å overvinne de angitte problemene med ekspertsystemer. I motsetning til ekspertsystemer, som kan gi brukeren et klart svar om samsvaret mellom de vurderte egenskapene og reglene fastsatt i databasen, analyserer det nevrale nettverket informasjonen og gir mulighet til å vurdere om dataene stemmer overens med egenskapene de har blitt lært opp til å gjenkjenne. Mens graden av korrespondanse til nevrale nettverksrepresentasjon kan nå 100%, avhenger påliteligheten av valget helt av kvaliteten på systemet i analysen av eksempler på oppgaven.

Først trenes det nevrale nettverket til å identifisere riktig på et forhåndsvalgt utvalg av domeneeksempler. Responsen til det nevrale nettverket analyseres og systemet er innstilt på en slik måte at det oppnås tilfredsstillende resultater. I tillegg til den innledende opplæringsperioden, får det nevrale nettverket erfaring over tid når det analyserer data relatert til fagområdet.

En viktig fordel med nevrale nettverk for å oppdage misbruk er deres evne til å "lære" egenskapene til bevisste angrep og identifisere elementer som ikke ligner på de som er observert i nettverket tidligere.

Hver av de beskrevne metodene har en rekke fordeler og ulemper, så nå er det praktisk talt vanskelig å finne et system som implementerer bare en av de beskrevne metodene. Vanligvis brukes disse metodene i kombinasjon.

Send det gode arbeidet ditt i kunnskapsbasen er enkelt. Bruk skjemaet nedenfor

Studenter, hovedfagsstudenter, unge forskere som bruker kunnskapsbasen i studiene og arbeidet vil være veldig takknemlige for deg.

Introduksjon

Angrep på et datasystem er en handling utført av en angriper for å finne og bruke en bestemt sårbarhet. Dermed er et angrep en realisering av en trussel. Merk at en slik tolkning av et angrep (som involverer en person med ondsinnet hensikt) utelukker elementet av tilfeldighet som er tilstede i definisjonen av en trussel, men som erfaring viser, er det ofte umulig å skille mellom tilsiktede og utilsiktede handlinger, og en god forsvarssystemet må reagere tilstrekkelig på noen av dem. ... Videre identifiserer forskere generelt tre hovedtyper sikkerhetstrusler - trusler om avsløring, integritet og tjenestenekt. En trussel formidling er at informasjon blir kjent for noen som ikke burde vite det. Når det gjelder datasikkerhet, oppstår en avsløringstrussel hver gang man får tilgang til konfidensiell informasjon, enten lagret på et datasystem eller overført fra ett system til et annet. Noen ganger brukes begrepene "tyveri" eller "lekkasje" i stedet for ordet "avsløring".

En trussel integritet inkluderer enhver bevisst endring (endring eller til og med sletting) av data som er lagret i et datasystem eller overført fra ett system til et annet. Det er en generell oppfatning at trusselen om avsløring er mer sårbar for offentlige etater, og trusselen mot integritet - forretningsmessig eller kommersiell.

En trussel tjenestenekt oppstår når, som et resultat av enkelte handlinger, tilgang til en bestemt ressurs i datasystemet blokkeres. Faktisk kan blokkering være permanent, slik at den forespurte ressursen aldri oppnås, eller den kan bare forsinke den forespurte ressursen lenge nok til at den blir ubrukelig. I slike tilfeller sies ressursen å være oppbrukt.

Typiske trusler i Internett-miljøet er:

Feil på en av nettverkskomponentene. Feil på grunn av designfeil eller maskinvare- eller programvarefeil kan føre til tjenestenekt eller kompromittering av sikkerheten på grunn av feil på en av nettverkskomponentene. Feil i en brannmur eller falske autorisasjonsnektelser fra autentiseringsservere er eksempler på feil som har innvirkning på sikkerheten.

Skanner informasjon. Uautorisert visning av kritisk informasjon av inntrengere eller autoriserte brukere kan forekomme ved hjelp av ulike mekanismer - e-post med feil mottaker, utskrift av skriveren, feilkonfigurerte tilgangskontrolllister, deling av samme identifikator med flere personer, etc.

Misbruk av informasjon – bruk av informasjon til andre formål enn de som er godkjent kan føre til tjenestenekt, unødvendige kostnader, tap av omdømme. Både interne og eksterne brukere kan være synderen.

1. Angrepsdeteksjon

Historisk sett er teknologiene som brukes til å bygge angrepsdeteksjonssystemer konvensjonelt delt inn i to kategorier: avviksdeteksjon og misbruksdeteksjon. I praksis brukes imidlertid en annen klassifisering, som tar hensyn til prinsippene for praktisk implementering av slike systemer: angrepsdeteksjon på nettverksnivå (nettverksbasert) og på vertsnivå (vertsbasert). Førstnevnte analyserer nettverkstrafikk, mens sistnevnte analyserer operativsystemet eller applikasjonsloggene. Hver av klassene har sine egne fordeler og ulemper, men mer om det senere. Det skal bemerkes at bare noen få inntrengningsdeteksjonssystemer entydig kan tilordnes en av de navngitte klassene. Som regel inkluderer de mulighetene til flere kategorier. Denne klassifiseringen reflekterer imidlertid nøkkelfunksjoner som skiller ett inntrengningsdeteksjonssystem fra et annet.

Foreløpig er teknologi for avviksdeteksjon ikke utbredt, og den brukes ikke i noe kommersielt distribuert system. Dette skyldes det faktum at denne teknologien ser vakker ut i teorien, men den er veldig vanskelig å implementere i praksis. Nå har det imidlertid skjedd en gradvis tilbakevending til det (spesielt i Russland), og det er å håpe at brukere snart vil kunne se de første kommersielle angrepsdeteksjonssystemene som bruker denne teknologien.

En annen tilnærming til angrepsdeteksjon er misbruksdeteksjon, som består i å beskrive et angrep i form av et mønster eller signatur og søke etter dette mønsteret i et kontrollert rom (nettverkstrafikk eller logg). Antivirussystemer er et godt eksempel på et inntrengningsdeteksjonssystem som bruker denne teknologien.

Som nevnt ovenfor er det to klasser av systemer som oppdager angrep på nettverks- og driftsnivå. Den grunnleggende fordelen med nettverksbaserte inntrengningsdeteksjonssystemer er at de identifiserer angrep før de når målverten. Disse systemene er lettere å distribuere i store nettverk fordi de ikke krever installasjon på de ulike plattformene som brukes i organisasjonen. I Russland er de mest utbredte operativsystemene MS-DOS, Windows 95, NetWare og Windows NT. Ulike UNIX-dialekter er ennå ikke like utbredt i vårt land som i Vesten. I tillegg har inntrengningsdeteksjonssystemer på nettverksnivå liten eller ingen innvirkning på nettverksytelsen.

Vertsbaserte inntrengningsdeteksjonssystemer er designet for å fungere under et spesifikt operativsystem, som pålegger dem visse begrensninger. For eksempel vet jeg ikke om et eneste system av denne klassen som opererer under MS-DOS eller Windows for Workgroups (og disse operativsystemene er fortsatt ganske utbredt i Russland). Ved å bruke kunnskap om hvordan operativsystemet er ment å "oppføre seg", kan verktøy bygget med denne tilnærmingen noen ganger oppdage inntrenging som verktøy for oppdagelse av nettverksangrep savner. Imidlertid oppnås dette ofte til en høy kostnad, fordi den vedvarende registreringen som kreves for å utføre denne typen oppdagelse, reduserer ytelsen til den beskyttede verten betydelig. Slike systemer belaster prosessoren tungt og krever store mengder diskplass for lagring av logger og er i prinsippet ikke aktuelt for svært kritiske systemer som opererer i sanntid (for eksempel bankens driftsdagsystem eller ekspedisjonskontrollsystem). Uansett, men begge disse tilnærmingene kan brukes til å beskytte organisasjonen din. Hvis du ønsker å beskytte en eller flere noder, kan inntrengningsdeteksjonssystemer på vertsnivå være et godt valg. Men hvis du ønsker å beskytte de fleste av organisasjonens nettverksnoder, er inntrengningsdeteksjonssystemer på nettverksnivå sannsynligvis det beste valget, siden å øke antall noder på nettverket ikke på noen måte vil påvirke sikkerhetsnivået som oppnås av inntrengingsdeteksjonssystemer . Den vil være i stand til å beskytte ekstra noder uten ekstra konfigurasjon, mens i tilfelle du bruker et system som opererer på vertsnivå, må du installere og konfigurere det for hver beskyttet vert. Den ideelle løsningen ville være et inntrengningsdeteksjonssystem som kombinerer begge disse tilnærmingene. ComputerPress 8 "1999

Kommersielle inntrengningsdeteksjonssystemer (IDS) på markedet i dag bruker enten en nettverks- eller systemtilnærming for å gjenkjenne og dempe angrep. Uansett, disse produktene er ute etter angrepssignaturer, spesifikke mønstre som vanligvis indikerer fiendtlig eller mistenkelig oppførsel. Ved søk etter disse mønstrene i nettverkstrafikk fungerer IDS på nettverksnivå. Hvis IDS ser etter signaturer for angrep i operativsystemet eller applikasjonsloggene, så er det det systemnivå. Hver tilnærming har sine egne fordeler og ulemper, men begge utfyller hverandre. Det mest effektive er et inntrengningsdeteksjonssystem som bruker begge teknologiene i sitt arbeid. Denne artikkelen diskuterer forskjellene i metoder for å oppdage angrep på nettverks- og systemnivå for å demonstrere deres styrker og svakheter. Den beskriver også hvordan hver metode kan brukes for å mest effektivt oppdage angrep.

1.1 Deteksjon av angrep på nettverkslag

Angrepsdeteksjonssystemer for nettverkslag bruker rå nettverkspakker som en datakilde for analyse. Vanligvis bruker IDS-er for nettverkslag en promiskuøs nettverksadapter og analyserer trafikk i sanntid mens den går gjennom nettverkssegmentet. Angrepsgjenkjenningsmotoren bruker fire velkjente metoder for å gjenkjenne en angrepssignatur:

o Overholdelse av trafikk med et mønster (signatur), uttrykk eller bytekode som karakteriserer et angrep eller mistenkelig handling;

o Overvåke frekvensen av hendelser eller overskridelse av terskelen;

o Sammenheng mellom flere lavprioriterte hendelser;

o Påvisning av statistiske anomalier.

Når et angrep er oppdaget, gir responsmodulen et bredt spekter av alternativer for varsling, alarm og mottiltak som svar på angrepet. Disse alternativene varierer fra system til system, men inkluderer vanligvis: å varsle administratoren via konsollen eller e-post, avslutte forbindelsen med den angripende verten og/eller ta opp en økt for senere analyse og bevisinnsamling.

1.2 Angrepsdeteksjon på systemnivå

På begynnelsen av 1980-tallet, før nettverk i det hele tatt utviklet seg, var den vanligste praksisen for å oppdage angrep å skanne logger for hendelser som indikerte mistenkelig aktivitet. Dagens inntrengningsdeteksjonssystemer på systemnivå er fortsatt et kraftig verktøy for å forstå angrep som allerede har skjedd og identifisere passende metoder for å håndtere fremtidig bruk. Moderne IDS-er på systemnivå bruker fortsatt loggbøker, men de har blitt mer automatiserte og inkluderer sofistikerte deteksjonsmetoder basert på den nyeste forskningen innen matematikk. Vanligvis overvåker IDS på systemnivå systemet, hendelsene og sikkerhetsloggene (syslog) på nettverk som kjører Windows NT eller Unix. Når noen av disse filene endres, sammenligner IDS de nye oppføringene med angrepssignaturer for å se om det er samsvar. Hvis et slikt samsvar blir funnet, sender systemet en alarm til administratoren eller utløser andre forhåndsdefinerte responsmekanismer.

IDS på systemnivå er i stadig utvikling, og inkluderer gradvis flere og flere nye deteksjonsmetoder. En slik populær teknikk er å sjekke kontrollsummene til nøkkelsystem- og kjørbare filer med jevne mellomrom for uautoriserte endringer. Rettidig svar er direkte relatert til frekvensen av avstemningen. Noen produkter lytter på aktive porter og varsler administratoren når noen prøver å få tilgang til dem. Denne typen deteksjon introduserer et rudimentært nivå av angrepsdeteksjon på nettverksnivå i driftsmiljøet.

1.3 Fordeler med nettverkslags inntrengningsdeteksjonssystemer

IDS-er på nettverksnivå har mange fordeler som ikke finnes i inntrengningsdeteksjonssystemer på systemnivå. Faktisk bruker mange kunder et inntrengningsdeteksjonssystem for nettverkslag på grunn av dets lave kostnader og rettidig respons. Følgende er hovedårsakene som gjør inntrengningsdeteksjon på nettverksnivå til den viktigste komponenten i effektiv håndheving av sikkerhetspolitikk.

1. Lave eierkostnader. Network Layer IDS må installeres på de mest kritiske stedene på nettverket for å kontrollere trafikk som flyter mellom flere systemer. Nettverkslagssystemer krever ikke programvare for inntrengningsdeteksjon som skal installeres på hver vert. Siden antallet nettsteder der IDS er installert for å overvåke hele nettverket er lite, er kostnadene ved å drive dem på bedriftsnettverket lavere enn kostnadene for å drive inntrengningsdeteksjonssystemer på systemnivå.

2. Deteksjon av angrep som hoppes over på systemnivå. Nettverkslags-IDS undersøker overskriftene til nettverkspakker for mistenkelig eller fiendtlig aktivitet. IDS-er på systemnivå fungerer ikke med pakkehoder, derfor kan de ikke oppdage denne typen angrep. For eksempel kan mange nettverksnektelser og TearDrop-angrep bare identifiseres ved å undersøke pakkehodene når de går gjennom nettverket. Denne typen angrep kan raskt identifiseres ved hjelp av et nettverkslag IDS som overvåker trafikk i sanntid. IDS-er for nettverkslag kan undersøke innholdet i en pakkedatakropp, se etter kommandoer eller spesifikk syntaks som brukes i spesifikke angrep. For eksempel, når en hacker prøver å bruke Back Orifice-programmet på systemer som ennå ikke er berørt av det, kan dette faktum oppdages ved å undersøke innholdet i datakroppen til pakken. Som nevnt ovenfor, fungerer ikke systemer på systemnivå på nettverksnivå og kan derfor ikke oppdage slike angrep.

3. Det er vanskeligere for en hacker å fjerne spor etter deres tilstedeværelse. Network Layer IDS bruker live trafikk for å oppdage angrep i sanntid. Dermed kan ikke hackeren fjerne sporene etter hans tilstedeværelse. De analyserte dataene inkluderer ikke bare informasjon om angrepsmetoden, men også informasjon som kan hjelpe til med å identifisere angriperen og bevise det i retten. Siden mange hackere er kjent med loggene, vet de hvordan de skal manipulere disse filene for å skjule sporene deres, noe som reduserer effektiviteten til systemene på systemnivå som trenger denne informasjonen for å oppdage et angrep.

4. Deteksjon og respons i sanntid. IDS-er på nettverksnivå oppdager mistenkelige og fiendtlige angrep SAMT DE HAR, og gir derfor mye raskere varsling og respons enn IDS-er på systemnivå. For eksempel kan en hacker som initierer et TCP-basert tjenestenektangrep på nettverkslaget stoppes ved at nettverkslagets IDS sender det angitte Reset-flagget i TCP-headeren for å avslutte forbindelsen til angriperen før angrepet forårsaker ødeleggelse eller skade på angriperen.vert. IDS-er på systemnivå gjenkjenner vanligvis ikke angrep før de er logget og svarer etter at loggen er skrevet. På dette tidspunktet kan de viktigste systemene eller ressursene allerede være kompromittert, eller systemet som kjører IDS-en på systemnivå kan bli forstyrret. Sanntidsvarsling lar deg raskt svare i henhold til forhåndsdefinerte parametere. Rekkevidden av disse svarene spenner fra å tillate infiltrasjon i overvåkingsmodus for å samle informasjon om angrepet og angriperen til umiddelbart å avslutte angrepet.

5. Oppdagelse av mislykkede angrep eller mistenkelige intensjoner. En nettverkslags-IDS installert utenfor brannmuren (ITU) kan oppdage angrep rettet mot ressurser bak ITU, selv om ITU kan avvise disse forsøkene. Systemer på systemnivå ser ikke reflekterte angrep som ikke når verten bak ITU. Denne tapte informasjonen kan være den viktigste for å vurdere og forbedre sikkerhetspolitikken.

6. OS-uavhengighet. IDS på nettverksnivå er uavhengig av operativsystemene som er installert på bedriftsnettverket. Systemnivå for inntrengningsdeteksjonssystemer krever spesifikke operativsystemer for å fungere skikkelig og generere de ønskede resultatene.

1.4 Fordeler med inntrengningsdeteksjonssystemer på systemnivå

Mens inntrengningsdeteksjonssystemer på systemnivå ikke er like raske som sine motparter på nettverksnivå, tilbyr de fordeler som sistnevnte ikke gjør. Disse fordelene inkluderer strengere analyser, mer oppmerksomhet til hendelsesdata på en spesifikk vert og lavere implementeringskostnader.

1. Bekrefter suksessen eller fiaskoen til angrepet. Siden IDS-er på systemnivå bruker logger som inneholder data om hendelser som faktisk fant sted, kan IDS av denne klassen avgjøre med høy nøyaktighet om et angrep virkelig var vellykket eller ikke. I denne forbindelse gir IDS-er på systemnivå et utmerket komplement til inntrengningsdeteksjonssystemer på nettverksnivå. Denne kombinasjonen gir tidlig varsling med nettverkskomponenten og "suksess" for et angrep med systemkomponenten.

2. Overvåker aktiviteten til en bestemt node. IDS på systemnivå overvåker brukeraktivitet, tilgang til filer, endringer i filtilgangsrettigheter, forsøk på å installere nye programmer og/eller forsøk på å få tilgang til privilegerte tjenester. For eksempel kan en IDS på systemnivå overvåke alle påloggings- og avloggingsaktiviteter til en bruker, samt handlinger utført av hver bruker når den er koblet til nettverket. Det er svært vanskelig for et nettverkslagssystem å gi dette nivået av hendelsesgranularitet. Teknologi for inntrengningsdeteksjon på systemnivå kan også overvåke aktiviteter som normalt bare vil bli utført av en administrator. Operativsystemer logger enhver hendelse som legger til, fjerner eller endrer brukerkontoer. IDS-er på systemnivå kan oppdage en tilsvarende endring så snart den inntreffer. IDS-er på systemnivå kan også revidere sikkerhetspolicyendringer som påvirker hvordan systemene sporer loggene deres osv.

Til syvende og sist kan inntrengningsdeteksjonssystemer på systemnivå overvåke endringer i nøkkelsystemfiler eller kjørbare filer. Forsøk på å overskrive slike filer eller installere trojanske hester kan oppdages og undertrykkes. Nettverkslagsystemer overser noen ganger denne typen aktivitet.

3. Oppdag angrep savnet av nettverkslagsystemer. IDS-er på systemnivå kan oppdage angrep som ikke kan oppdages av verktøy på nettverksnivå. Angrep lansert fra den angrepne serveren i seg selv kan for eksempel ikke oppdages av angrepsdeteksjonssystemer for nettverkslag.

4. Godt egnet for krypterte og byttede nettverk. Fordi IDS-en på systemnivå er installert på forskjellige verter på et bedriftsnettverk, kan den overvinne noen av problemene som oppstår når du opererer systemer på nettverksnivå i krypterte og byttede nettverk.

Bytting gjør at store nettverk kan administreres som flere små nettverkssegmenter. Som et resultat kan det være vanskelig å finne det beste stedet å installere nettverkslaget IDS. Noen ganger kan administrerte porter og speilporter, span-porter på svitsjer hjelpe, men disse metodene er ikke alltid anvendelige. Angrepsdeteksjon på systemnivå sikrer mer effektiv drift i svitsjede nettverk, fordi lar deg plassere IDS kun på de nodene der det er nødvendig.

Visse typer kryptering utgjør også utfordringer for inntrengningsdeteksjonssystemer for nettverkslag. Avhengig av hvor krypteringen utføres (kanal eller abonnent), kan nettverkslagets IDS forbli "blind" for visse angrep. IDS på systemnivå har ikke denne begrensningen. I tillegg analyserer operativsystemet, og dermed IDS-en på systemnivå, den dekrypterte innkommende trafikken.

5. Nær sanntidsdeteksjon og respons. Selv om angrepsdeteksjon på systemnivå ikke gir en virkelig sanntidsrespons, kan den, hvis den er riktig implementert, oppnås i nesten sanntid. I motsetning til eldre systemer som sjekker status og innhold i loggene med forhåndsbestemte intervaller, mottar mange moderne systemnivå-IDSer et OS-avbrudd hver gang en ny loggoppføring vises. Denne nye posten kan behandles umiddelbart, noe som reduserer tiden mellom å gjenkjenne et angrep og svare på det betydelig. Det er en forsinkelse mellom tidspunktet operativsystemet skriver en hendelse til loggfilen og tidspunktet det gjenkjennes av inntrengningsdeteksjonssystemet, men i mange tilfeller kan en angriper oppdages og stoppes før den gjør skade.

6. Ingen ekstra maskinvare kreves. Systemnivå for inntrengningsdeteksjonssystemer er installert på den eksisterende nettverksinfrastrukturen, inkludert filservere, webservere og andre ressurser som er i bruk. Denne muligheten kan gjøre IDS-er på systemnivå svært kostnadseffektive fordi de ikke krever at en annen node på nettverket overvåkes, vedlikeholdes og administreres.

7. Lav pris. Selv om nettverkslaggir trafikkanalyse av hele nettverket, er de ofte ganske dyre. Kostnaden for ett inntrengningsdeteksjonssystem kan overstige $ 10 000. På den annen side koster inntrengningsdeteksjonssystemer på systemnivå hundrevis av dollar per agent og kan kjøpes av kunden hvis det er nødvendig å kontrollere bare noen få noder i virksomheten, uten å kontrollere nettverksangrep.

1.5 Behovet for angrepsdeteksjonssystemer på både nettverk og systemnivå

Begge løsninger: IDS og nettverks- og systemnivåer har sine egne fordeler og fordeler som effektivt utfyller hverandre. Neste generasjon IDS må derfor inkludere integrerte system- og nettverkskomponenter. Kombinasjonen av disse to teknologiene vil betydelig forbedre nettverkets motstand mot angrep og misbruk, stramme sikkerhetspolicyer og innføre større fleksibilitet i utnyttelsen av nettverksressurser.

Figuren nedenfor illustrerer hvordan på system- og nettverksnivå fungerer sammen for å skape en mer effektiv brannmur. Noen hendelser oppdages kun av nettverkssystemer. Andre - kun ved hjelp av systemet. Noen krever at begge typer angrepsdeteksjon brukes for pålitelig deteksjon.

Figur 1. V interoperabilitet av angrepsdeteksjonsmetoder på system- og nettverksnivå

1.6 Liste over krav til neste generasjons inntrengningsdeteksjonssystemer

Funksjoner for neste generasjons inntrengningsdeteksjonssystemer:

1. Muligheter for å oppdage angrep på system- og nettverksnivå, integrert i ett enkelt system.

2. Delt administrasjonskonsoll med et konsistent grensesnitt for produktkonfigurasjon, administrasjonspolicy og visning av individuelle hendelser fra både system- og nettverkskomponenter i inntrengningsdeteksjonssystemet.

3. Integrert database over hendelser.

4. Integrert rapporteringssystem.

5. Muligheter for å korrelere hendelser.

6. Integrert online hjelp for hendelsesrespons.

7. Enhetlige og konsistente installasjonsprosedyrer.

8. Legge til muligheten til å kontrollere dine egne hendelser.

I fjerde kvartal 1998 ble RealSecureT versjon 3.0 utgitt, som oppfyller alle disse kravene.

· RealSecure Tracking Module - oppdager nettverkslagsangrep på Ethernet-, Fast Ethernet-, FDDI- og Token Ring-nettverk.

· RealSecure Agent - oppdager angrep på servere og andre systemenheter.

· RealSecure Manager — En administrasjonskonsoll som gir konfigurasjon for RealSecure-sporere og agenter og integrerer sanntidsanalyse av nettverkstrafikk og systemlogger. Lukatskiy A.V. Angrepsdeteksjonssystemer // Bankteknologier. 1999. Nr. 2.

2. Hele verden er full av angrep

Det er to strategier som kan brukes til å forsvare seg mot ulike typer angrep. Den første er å skaffe de mest kjente (men ikke alltid de beste) forsvarssystemene mot alle typer angrep. Denne metoden er veldig enkel, men den krever en enorm investering. Ingen hjemmebrukere eller til og med lederen av en organisasjon vil gjøre dette. Derfor brukes vanligvis den andre strategien, som består i en foreløpig analyse av sannsynlige trusler og påfølgende valg av beskyttelsesmidler mot dem.

Trusselanalyse, eller risikoanalyse, kan også gjøres på to måter. En kompleks, men mer effektiv måte er at før du velger de mest sannsynlige truslene, utføres en analyse av informasjonssystemet, informasjonen som behandles i det, brukt programvare og maskinvare osv. Dette vil begrense omfanget av potensielle angrep betydelig og dermed øke effektiviteten av å investere penger i de kjøpte sikkerhetsverktøyene. En slik analyse krever imidlertid tid, penger og, viktigst av alt, høyt kvalifiserte spesialister som gjennomfører en oversikt over det analyserte nettverket. Få bedrifter, enn si hjemmebrukere, har råd til å gå denne veien. Hva å gjøre? Du kan velge beskyttelsesverktøy basert på de såkalte standardtruslene, det vil si de som er mest vanlige. Til tross for at noen iboende trusler mot det beskyttede systemet kan bli ignorert, vil de fleste av dem fortsatt falle inn i det skisserte rammeverket. Hva er de vanligste typene trusler og angrep? Denne artikkelen er viet til svaret på dette spørsmålet. For å gjøre dataene som presenteres mer nøyaktige, vil jeg bruke statistikk hentet fra ulike kilder.

Tall, tall, tall...

Hvem begår oftest datakriminalitet og gjennomfører ulike angrep? Hva er de vanligste truslene? Jeg vil sitere dataene innhentet av den mest autoritative kilden på dette feltet - Computer Security Institute (CSI) og gruppen av dataangrep fra FBI-avdelingen i San Francisco. Disse dataene ble publisert i mars 2000 i 2000 CSI / FBI Computer Crime and Security Survey. I følge disse dataene:

· 90 % av respondentene (store selskaper og offentlige organisasjoner) registrerte ulike angrep på informasjonsressursene deres;

· 70 % av respondentene rapporterte om alvorlige brudd på sikkerhetspolitikken som virus, tjenestenektangrep, misbruk av ansatte osv.;

· 74 % av respondentene led betydelige økonomiske tap som følge av disse bruddene.

Tap på grunn av brudd på sikkerhetspolitikken har også økt de siste årene. Hvis tapsbeløpet i 1997 var lik 100 millioner dollar, i 1999 - 124 millioner, økte dette tallet til 266 millioner dollar i 2000. Mengden tap fra tjenestenektangrep nådde 8,2 millioner dollar. Andre interessante data inkluderer kilder til angrep, typer vanlige angrep og størrelsen på deres tap.

En annen anerkjent kilde, CERT Coordination Center, bekrefter også disse dataene. I tillegg, ifølge dataene han samlet inn, faller økningen i sikkerhetshendelser sammen med fremveksten av Internett.

Interessen for e-handel vil drive denne veksten i årene som kommer. En annen trend har også blitt notert. På 1980- og begynnelsen av 1990-tallet angrep eksterne angripere nettsteder av nysgjerrighet eller for å demonstrere sine ferdigheter. I dag forfølger angrep oftest økonomiske eller politiske mål. Ifølge mange analytikere ble antallet vellykkede penetrasjoner i informasjonssystemer i 1999 alene doblet sammenlignet med året før (fra 12 % til 23 %). Både i 2000 og 2001 fortsetter denne trenden.

Det finnes også russisk statistikk på dette området. Og selv om den er ufullstendig og, etter mange eksperters mening, bare representerer toppen av isfjellet, vil jeg likevel gi disse tallene. I 2000 ble det ifølge innenriksdepartementet registrert 1375 datakriminalitet. Sammenlignet med 1999 har dette tallet økt med mer enn 1,6 ganger. Dataene til avdelingen for bekjempelse av kriminalitet i sfæren av høyteknologi i den russiske føderasjonens innenriksdepartement (avdeling "R") viser at de fleste forbrytelsene - 584 av totalen - er relatert til ulovlig tilgang til datainformasjon ; 258 tilfeller er skade på eiendom ved bruk av dataverktøy; 172 forbrytelser er forbundet med opprettelse og distribusjon av ulike virus, eller rettere sagt, "ondsinnede programmer for datamaskiner"; 101 forbrytelser - fra serien "ulovlig produksjon eller anskaffelse med det formål å selge tekniske midler for ulovlig innhenting av informasjon", 210 - svindel med bruk av data- og telekommunikasjonsnettverk; 44 - brudd på reglene for drift av datamaskiner og deres nettverk. ComputerPress 10 "2001

3. Hvordan beskytte deg mot eksterne angrep på Internett?

Det særegne ved Internett i dag er at 99 % av informasjonsressursene til nettverket er offentlig tilgjengelig. Fjerntilgang til disse ressursene kan utføres anonymt av enhver uautorisert bruker av nettverket. Et eksempel på slik uautorisert tilgang til offentlige ressurser er tilkobling til WWW- eller FTP-servere, hvis slik tilgang er tillatt.

Etter å ha bestemt hvilke ressurser på Internett brukeren har til hensikt å få tilgang til, er det nødvendig å svare på følgende spørsmål: skal brukeren tillate ekstern tilgang fra nettverket til ressursene sine? Hvis ikke, er det fornuftig å bruke et "rent klient" OS som et nettverks-OS (for eksempel Windows "95 eller NT Workstation), som ikke inneholder serverprogrammer som gir ekstern tilgang, og derfor ekstern tilgang til dette system. i utgangspunktet umulig, siden det rett og slett ikke leveres av programvare (for eksempel Windows "95 eller NT, men med ett men: det er egentlig ingen FTP, TELNET, WWW, etc.-servere for disse systemene, men vi må ikke glemme den innebygde- i evne til å gi ekstern tilgang til filsystemet, den såkalte deling ressurser. Og etter å ha husket i det minste Microsofts merkelige posisjon i forhold til å sikre sikkerheten til systemene sine, må du tenke seriøst før du bestemmer deg for produktene til dette selskapet. Det siste eksemplet: et program har dukket opp på Internett som gir en angriper uautorisert ekstern tilgang til filsystemet til Windows NT 4.0!). Valget av et klientoperativsystem løser i stor grad sikkerhetsproblemet for en gitt bruker (du kan ikke få tilgang til en ressurs som rett og slett ikke eksisterer!). Men i dette tilfellet forringes funksjonaliteten til systemet. Her er det betimelig å formulere, etter vår mening, det grunnleggende aksiomet for sikkerhet:

Sikkerhetsaksiom. Prinsippene for tilgjengelighet, bekvemmelighet, ytelse og funksjonalitet til et datasystem er antagonistiske til prinsippene for dets sikkerhet.

Dette aksiomet er i prinsippet åpenbart: jo mer tilgjengelig, praktisk, rask og multifunksjonell fly, jo mindre sikker er det. Det er mange eksempler. For eksempel DNS-tjeneste: praktisk, men farlig.

La oss gå tilbake til brukerens valg av klientnettverks-OS. Dette er for øvrig et av de veldig fornuftige trinnene som fører til en nettverkspolitikk for isolasjonisme. Denne nettverkssikkerhetspolicyen er å implementere så fullstendig isolasjon av datasystemet ditt fra omverdenen som mulig. Et av trinnene for å håndheve denne policyen er for eksempel bruken av brannmursystemer, slik at du kan opprette et dedikert sikkert segment (for eksempel et privat nettverk), atskilt fra det globale nettverket. Selvfølgelig er det ingenting som hindrer deg i å bringe denne politikken med nettverksisolasjonisme til det absurde - bare å trekke ut nettverkskabelen (fullstendig isolasjon fra omverdenen!). Ikke glem, dette er også en "løsning" på alle problemer med eksterne angrep og nettverkssikkerhet (på grunn av fullstendig fravær av disse).

Så la Internett-brukeren bestemme seg for å bare bruke klientens nettverksoperativsystem for å få tilgang til nettverket og kun bruke det for uautorisert tilgang. Har sikkerhetsproblemer blitt løst? Ikke i det hele tatt! Alt ville vært bra hvis det ikke var så ille. For et Denial of Service-angrep er det absolutt irrelevant verken typen tilgang som brukes av brukeren, eller typen nettverks-OS (selv om klient-OS er noe å foretrekke fra et synspunkt om beskyttelse mot angrep). Dette angrepet, som utnytter grunnleggende sikkerhetshull i protokollene og infrastrukturen til Internett, angriper nettverksoperativsystemet på en brukers vert med det eneste formål å forstyrre funksjonaliteten. Windows 95 eller Windows NT er det mest lukrative målet for et falskt ICMP-denial-of-service-angrep, en angriper som kan forstyrre ytelsen med mindre han ønsker å bare spille et puss.

3.1 Administrative metoder for beskyttelse mot eksterne angrep på Internett

Det mest korrekte trinnet i denne retningen vil være å invitere en som sammen med deg vil prøve å løse hele spekteret av oppgaver for å sikre det nødvendige sikkerhetsnivået for ditt distribuerte fly. Dette er en ganske vanskelig kompleks oppgave, for løsningen som det er nødvendig å bestemme hva (listen over kontrollerte objekter og ressurser til DCS), fra hva (analyse av mulige trusler mot denne DCS) og hvordan (utvikling av krav, definisjon av en sikkerhetspolicy og utvikling av administrative og maskinvare-programvare tiltak for å sikre i praksis, den utviklede sikkerhetspolitikken) for å beskytte.

Det enkleste og billigste er kanskje de administrative metodene for beskyttelse mot informasjonsdestruktiv påvirkning.

3.1.1 Hvordan kan jeg beskytte meg mot nettverkstrafikkanalyse?

Det er et angrep som lar en cracker fange opp all informasjon som utveksles mellom eksterne brukere ved å bruke programvare som lytter på en meldingsoverføringskanal på nettverket, hvis bare ukrypterte meldinger overføres over kanalen. Det kan også vises at de grunnleggende applikasjonsprotokollene for fjerntilgang TELNET og FTP ikke sørger for elementær kryptering av jevn identifikator (navn) og autentisering (passord) til brukere som overføres over nettverket. Derfor kan nettverksadministratorer åpenbart rådes til ikke å bruke disse underliggende protokollene for å gi fjernkontroll autorisert tilgang til ressursene til systemene deres og anser analysen av nettverkstrafikk som den konstant tilstedeværende trusselen som ikke kan elimineres, men du kan gjøre implementeringen i hovedsak meningsløs ved å bruke sterke kryptoalgoritmer for å beskytte IP-strømmen.

3.1.2 Hvordan kan jeg beskytte meg mot en falsk ARP-server?

I tilfelle nettverksoperativsystemet ikke har informasjon om korrespondansen mellom IP- og Ethernet-adresser til verter innenfor ett segment av IP-nettverket, lar denne protokollen deg sende en kringkastings-ARP-forespørsel for å finne den nødvendige Ethernet-adressen, som en angriperen kan sende et falskt svar, og i fremtiden vil all trafikk på lenkenivå bli fanget opp av angriperen og vil passere gjennom den falske ARP-serveren. Åpenbart, for å eliminere dette angrepet, er det nødvendig å eliminere grunnen til at det er mulig å utføre det. Hovedårsaken til suksessen til dette eksterne angrepet er mangelen på nødvendig informasjon fra operativsystemet til hver vert om de tilsvarende IP- og Ethernet-adressene til alle andre verter innenfor dette nettverkssegmentet. Dermed vil den enkleste løsningen være at nettverksadministratoren oppretter en statisk ARP-tabell i form av en fil (vanligvis / etc / ethers på UNIX), hvor riktig adresseinformasjon må legges inn. Denne filen er installert på hver vert i segmentet, og derfor trenger ikke nettverksoperativsystemet å bruke eksternt ARP-oppslag.

3.1.3 Hvordan kan jeg beskytte meg mot en forfalsket DNS-server?

Bruk av DNS i sin nåværende form på Internett kan tillate en cracker å få global kontroll over tilkoblinger ved å tvinge en lokkevei gjennom crackerens lokke-DNS-server. Basert på potensielle DNS-sårbarheter, kan dette eksterne angrepet få katastrofale konsekvenser for et stort antall Internett-brukere og kan føre til et massivt cybersikkerhetsbrudd på dette globale nettverket. De neste to avsnittene foreslår mulige administrative metoder for å forhindre eller hindre dette eksterne angrepet for nettverksadministratorer og brukere og for DNS-serveradministratorer.

a) Hvordan kan en nettverksadministrator beskytte seg mot en falsk DNS-server?

Hvis svaret på dette spørsmålet er kort, så på ingen måte. Det finnes ikke noe administrativt eller programmatisk forsvar mot et angrep på en eksisterende versjon av DNS-tjenesten. Den beste sikkerhetsløsningen ville være å slutte å bruke DNS-tjenesten i ditt sikre segment helt! Selvfølgelig vil det ikke være veldig praktisk for brukere å helt forlate bruken av navn når de refererer til verter. Derfor kan vi tilby følgende avveiningsløsning: bruk navn, men forlat den eksterne DNS-oppslagsmekanismen. Du gjettet det riktig, dette er en fallback til pre-DNS med dedikerte DNS-servere. Så på hver maskin på nettverket det var verter en fil som inneholdt informasjon om de tilsvarende navnene og IP-adressene til alle verter på nettverket. Det er åpenbart at i dag kan administratoren legge inn informasjon i en slik fil kun om de mest besøkte nettverksserverne av brukere av dette segmentet. Derfor er det ekstremt vanskelig å bruke denne løsningen i praksis og tilsynelatende urealistisk (hva skal man for eksempel gjøre med nettlesere som bruker URL-er med navn?).

For å komplisere implementeringen av dette eksterne angrepet, kan du foreslå at administratorer bruker TCP for DNS-tjenesten i stedet for UDP, som er installert som standard (selv om det er langt fra åpenbart fra dokumentasjonen hvordan man endrer det). Dette gjør det mye vanskeligere for en angriper å sende et falskt DNS-svar til verten uten å godta DNS-forespørselen.

Den generelle skuffende konklusjonen er denne: på Internett, når du bruker den eksisterende DNS-tjenesteversjoner eksisterer ikke en akseptabel løsning for å beskytte mot en falsk DNS-server (og du vil ikke nekte, slik tilfellet er med ARP, og det er farlig å bruke)!

b) Hvordan kan en DNS-serveradministrator beskytte mot en falsk DNS-server?

Hvis svaret på dette spørsmålet er kort, så igjen, på ingen måte. Den eneste måten å gjøre dette eksterne angrepet vanskeligere er å bruke kun TCP, ikke UDP, for å kommunisere med verter og andre DNS-servere. Dette vil imidlertid bare gjøre angrepet vanskeligere - ikke glem både mulig avskjæring av DNS-forespørselen og muligheten for matematisk prediksjon av startverdien til TCP ISN-identifikatoren.

Avslutningsvis kan vi anbefale for hele Internett å raskt flytte enten til en ny, sikrere versjon av DNS-tjenesten, eller å ta i bruk en enkelt standard for en sikker protokoll. Det er viktig å gjøre denne overgangen, til tross for alle de enorme kostnadene, ellers kan Internett rett og slett bli brakt på kne før de stadig økende vellykkede forsøkene på å bryte sikkerheten ved å bruke denne tjenesten!

3.1.4 Hvordan beskytte mot falsk rutepålegging ved bruk av ICMP?

Angrepet, som bestod i å sende en falsk ICMP Redirect-melding til verten om endring av den opprinnelige ruten, førte både til avlytting av informasjon av angriperne og til en funksjonsfeil hos den angrepne verten. For å forsvare seg mot dette eksterne angrepet, er det nødvendig å enten filtrere denne meldingen (ved hjelp av en brannmur eller en filtreringsruter), hindre den i å nå sluttsystemet, eller velge nettverks-OS som vil ignorere denne meldingen. Imidlertid er det vanligvis ingen administrativ måte å påvirke nettverksoperativsystemet for å hindre det i å endre ruten og svare på denne meldingen. Den eneste måten, for eksempel i tilfellet med Linux eller FreeBSD OS, er å endre kildene og rekompilere OS-kjernen. Åpenbart er en så eksotisk måte for mange bare mulig for operativsystemer som distribueres fritt sammen med kildekoden. Vanligvis, i praksis, er det ingen annen måte å finne ut hvordan operativsystemet ditt reagerer på en ICMP Redirect-melding, hvordan du sender denne meldingen og ser hva resultatet blir. Eksperimenter har vist at denne meldingen lar deg endre ruting på Linux 1.2.8, Windows "95 og Windows NT 4.0. Det bør bemerkes at Microsoft-produkter ikke er spesielt beskyttet mot mulige eksterne angrep som er iboende i IP-nettverk. Bruk derfor disse OS i det beskyttede segmentet av IP-nettverket virker uønsket, og dette vil være den administrative avgjørelsen for å beskytte segmentet av nettverket fra dette eksterne angrepet.

3.1.5 Hvordan beskytte mot tjenestenekt?

Det er ingen, og kan ikke være, en akseptabel måte å beskytte mot tjenestenekt i den eksisterende IPv4-standarden på Internett. Dette skyldes det faktum at i denne standarden er det umulig å kontrollere ruten for meldinger. Derfor er det umulig å sikre pålitelig kontroll over nettverksforbindelser, siden ett emne for nettverksinteraksjon har muligheten til å okkupere et ubegrenset antall kommunikasjonskanaler med et eksternt objekt og samtidig forbli anonym. På grunn av dette kan enhver server på Internett bli fullstendig lammet ved hjelp av et eksternt angrep.

Det eneste som kan foreslås for å forbedre påliteligheten til systemet som er utsatt for dette angrepet, er å bruke datamaskiner så kraftige som mulig. Jo høyere antall og frekvens av prosessorer, jo større mengde RAM, jo mer pålitelig vil nettverksoperativsystemet være når det blir truffet av en rettet "storm" av falske tilkoblingsforespørsler. I tillegg må du bruke operativsystemer som er passende for din prosessorkraft, med en intern kø som kan ta imot et stort antall tilkoblingsforespørsler. Tross alt, fra det faktum at du for eksempel setter på en superdatamaskin operativsystemet Linux eller Windows NT, hvis kølengde for samtidig behandlede forespørsler er omtrent 10, og tidsavbruddet for å tømme køen er flere minutter, så, til tross for alt datamaskinens datakraft, vil operativsystemet fullstendig lammet av angriperen.

3.1.6 Hvordan beskytte mot forfalskning av en av partene når du samhandler med de grunnleggende protokollene til TCP/IP-familien

Som nevnt tidligere, den eneste grunnleggende protokollen til TCP / IP-familien, som i utgangspunktet sørger for funksjonen for å sikre sikkerheten til forbindelsen og dens abonnenter, er transportlagsprotokollen - TCP-protokollen. Når det gjelder de grunnleggende applikasjonsnivåprotokollene: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, gir ingen av dem ekstra beskyttelse for tilkoblingen på sitt eget nivå og overlater løsningen av alle problemer med å sikre tilkoblingen til protokollen til et lavere transportlag - TCP. Men med tanke på de mulige angrepene på TCP-forbindelsen, diskutert i avsnitt 4.5, hvor det ble bemerket at når en angriper er i samme segment for et angrep, er det i utgangspunktet umulig å forsvare seg mot forfalskning av en av TCP-forbindelsene abonnenter, segmenter, på grunn av muligheten for matematisk prediksjon av identifikatoren til TCP-tilkoblingen ISN, er det også mulig å erstatte en av abonnentene, det er lett å konkludere med at når du bruker de grunnleggende protokollene til TCP / IP-familien, er nesten umulig å sikre sikkerheten til forbindelsen! Dette skyldes det faktum at dessverre er alle de grunnleggende protokollene til Internett fra et informasjonssikkerhetssynspunkt utrolig utdaterte.

Det eneste som kan anbefales for nettverksadministratorer å beskytte kun fra krysssegmentangrep på tilkoblinger - bruk TCP-protokollen og nettverksoperativsystemer som den grunnleggende "sikre" protokollen, der startverdien til TCP-tilkoblingsidentifikatoren faktisk genereres tilfeldig (en god pseudo-tilfeldig genereringsalgoritme brukes i siste versjoner av FreeBSD OS).

3.2 Maskinvare og programvare metoder for beskyttelse mot eksterne angrep på Internett

Programvaren og maskinvaren for å sikre informasjonssikkerhet for kommunikasjonsfasiliteter i datanettverk inkluderer:

· Maskinvarekryptering av nettverkstrafikk;

· Brannmurteknikk, implementert på grunnlag av programvare og maskinvare;

· Sikre nettverkskryptoprotokoller;

· Maskinvare og programvare nettverkstrafikkanalysatorer;

· Sikre nettverksoperativsystemer.

Det er en enorm mengde litteratur viet til disse sikkerhetsverktøyene designet for bruk på Internett (i løpet av de siste to årene har artikler om dette emnet blitt funnet i nesten alle utgaver av et datamagasin).

Videre beskriver vi, så kort som mulig, for ikke å gjenta kjent informasjon til alle, disse sikkerhetstiltakene som brukes på Internett. Samtidig forfølger vi følgende mål: La oss først gå tilbake til myten om "absolutt beskyttelse" som brannmursystemer angivelig gir, tilsynelatende på grunn av innsatsen fra leverandørene deres; for det andre vil vi sammenligne de eksisterende versjonene av kryptoprotokollene som brukes på Internett, og gi et estimat, faktisk, kritisk situasjonen i dette området; og for det tredje vil vi gjøre leserne kjent med muligheten for beskyttelse ved hjelp av en nettverkssikkerhetsmonitor designet for å dynamisk overvåke situasjoner som oppstår i et beskyttet segment av et IP-nettverk, noe som indikerer at et av fjernangrepene beskrevet i kapittel 4 har blitt utført på dette segmentet.

3.2.1 Brannmurteknikk som det viktigste maskinvare- og programvareverktøyet for implementering av nettverkssikkerhetspolicy i et dedikert segment av IP-nettverket

Generelt implementerer brannmurteknikken følgende tre hovedfunksjoner:

1. Flernivåfiltrering av nettverkstrafikk.

Filtrering utføres vanligvis ved tre OSI-lag:

- nettverk (IP);

- transport (TCP, UDP);

- brukt (FTP, TELNET, HTTP, SMTP, etc.).

Filtrering av nettverkstrafikk er hovedfunksjonen til brannmursystemer og lar nesentralt implementere den nødvendige nettverkssikkerhetspolicyen på et dedikert segment av IP-nettverket, det vil si ved å konfigurere brannmuren tilsvarende, kan du tillate eller nekte brukere tilgang fra det eksterne nettverket til de tilsvarende vertstjenestene eller til verter som befinner seg i det beskyttede segmentet, og tilgang for brukere fra det interne nettverket til de tilsvarende ressursene til det eksterne nettverket. Du kan tegne en analogi med den lokale OS-administratoren, som, for å implementere sikkerhetspolicyen i systemet, tildeler de riktige relasjonene mellom emnene (brukere) og systemobjekter (for eksempel filer) på den nødvendige måten, noe som gjør det er mulig å avgrense tilgangen til systemsubjektene til dets objekter i samsvar med tilgangsrettighetene spesifisert av administratoren. ... Det samme resonnementet gjelder for brannmurfiltrering: IP-adresser til brukerverter vil fungere som gjenstander for interaksjon, og IP-adresser til verter, brukte transportprotokoller og fjerntilgangstjenester vil bli brukt som objekter som tilgangen må begrenses til.

2. Proxy-skjema med ytterligere identifikasjon og autentisering av brukere på Brannmur-verten.

Proxy-ordningen lar for det første, når du får tilgang til et beskyttet brannmurnettverkssegment, utføre ytterligere identifikasjon og autentisering av en ekstern bruker på det, og for det andre er grunnlaget for å lage private nettverk med virtuelle IP-adresser. Meningen med proxy-ordningen er å opprette en forbindelse med den endelige mottakeren gjennom en mellomliggende proxy-server (proxy fra engelsk autoritative) på brannmur-verten. Det er på denne proxy-serveren ytterligere identifikasjon av abonnenten kan utføres.

3. Oppretting av private nettverk (Privat Virtual Network - PVN) med "virtuelle" IP-adresser (NAT - Network Address Translation).

I tilfelle neanser det som hensiktsmessig å skjule den sanne topologien til sitt interne IP-nettverk, kan han rådes til å bruke brannmursystemer for å opprette et privat nettverk (PVN-nettverk). Verter i PVN tildeles eventuelle "virtuelle" IP-adresser. For adressering til det eksterne nettverket (gjennom brannmuren), er det nødvendig enten å bruke proxy-servere beskrevet ovenfor på brannmur-verten, eller å bruke spesielle ruting (ruting)-systemer, bare gjennom hvilke ekstern adressering er mulig. Dette skyldes det faktum at den virtuelle IP-adressen som brukes i det interne PVN-nettverket åpenbart ikke er egnet for ekstern adressering (ekstern adressering er adressering til abonnenter utenfor PVN-nettverket). Derfor må en proxy-server eller et rutingverktøy kommunisere med abonnenter fra det eksterne nettverket fra sin virkelige IP-adresse. Forresten, denne ordningen er praktisk hvis du har blitt tildelt et utilstrekkelig antall IP-adresser for å opprette et IP-nettverk (i IPv4-standarden skjer dette hele tiden, derfor for å opprette et fullverdig IP-nettverk ved hjelp av en proxy-ordning, bare én dedikert IP-adresse er nok adresser for proxy-serveren).

Lignende dokumenter

Generalisert modell av. Begrunnelse og valg av overvåkede parametere og programvare for utvikling av et angrepsdeteksjonssystem. Store trusler og sårbarheter. Bruke et inntrengningsdeteksjonssystem i svitsjede nettverk.

avhandling, lagt til 21.06.2011


Dataangrep og teknologi for å oppdage dem. Systemer og brannmurer for nettverksangrep. Programvare for sikkerhetsanalyse og trusselbeskyttelse. Implementering av programvareverktøy for å oppdage angrep for et bedriftsinformasjonssystem.

semesteroppgave, lagt til 16.03.2015


Metoder for å oppdage angrep på nettverks- og systemnivå. Administrative metoder for beskyttelse mot ulike typer eksterne angrep. Hacking-varsler. Respons etter invasjonen. Anbefalinger for bevaring av informasjon og kontroll over den på Internett.

semesteroppgave, lagt til 21.01.2011


Klassifisering av nettverksangrep etter OSI-modellnivå, etter type, etter plasseringen til angriperen og det angrepne objektet. Problemet med sikkerheten til IP-nettverk. Trusler og sårbarheter ved trådløse nettverk. Klassifisering av systemer for deteksjon av angrep IDS. XSpider-konsept.

semesteroppgave lagt til 11.04.2014


Metoder for å motvirke nettverksangrep. Algoritme for handlinger på nettverksnivå. Metoder for å utføre passordangrep. Man-in-the-Middle angrep. Nettverksinformasjon, uautorisert tilgang. Port forwarding. Virus og trojanske hest-applikasjoner.

semesteroppgave, lagt til 20.04.2015


Sikkerhetsproblemet til operativsystemer. Funksjoner til sikkerhetsdelsystemet. Brukeridentifikasjon, programvaretrusler (angrep). Typer nettverksangrep. Utviklingslivssyklus for sikre programvareprodukter. Vurdering av programvareangrep.

presentasjon lagt til 24.01.2014


Måter å bruke nevrale nettverksteknologier i inntrengningsdeteksjonssystemer. Ekspertsystemer for å oppdage nettverksangrep. Kunstige nettverk, genetiske algoritmer. Fordeler og ulemper med inntrengningsdeteksjonssystemer basert på nevrale nettverk.

test, lagt til 30.11.2015


Bekvemmelighet og muligheter for Snort-angrepsforebyggende system, typer plug-ins: forprosessorer, deteksjonsmoduler, utgangsmoduler. Metoder for deteksjon av snørreangrep og regelkjeder. Nøkkelkonsepter, hvordan det fungerer, og iptables innebygde handlinger.

test, lagt til 17.01.2015


Adaptivt sikkerhetsstyringskonsept. Sikkerhetsanalyseverktøy for nettverksprotokoller og tjenester. Komponenter og arkitektur til IDS. Klassifisering av inntrengningsdeteksjonssystemer. Søk etter sårbarheter i moderne IDS-systemer. Metoder for å reagere på angrep.

semesteroppgave, lagt til 13.12.2011


Generelle kjennetegn ved informasjonsteknologi og modeller for datanettverkstrusler. Studerer midlene for å beskytte nettverkets perimeter og bygger et system for aktivt å avvise angrep i bedriftsnettverk. Innbruddsdeteksjon og automatisk forsvarssystem.

Det er fortsatt ingen presis definisjon av begrepet "angrep" (invasjon, angrep). Hver sikkerhetsekspert tolker det forskjellig. Jeg anser følgende definisjon som den mest korrekte og fullstendige.

Ved angrep de bevisste handlingene til en inntrenger som utnytter sårbarheter i informasjonssystemet og fører til brudd på tilgjengeligheten, integriteten og konfidensialiteten til den behandlede informasjonen kalles på et informasjonssystem.

Hvis vi eliminerer sårbarhetene i informasjonssystemet, vil vi også eliminere muligheten for å utføre angrep.

Det anses foreløpig som ukjent hvor mange angrepsmetoder som finnes. De sier at det fortsatt ikke er noen seriøs matematisk forskning på dette området. Men tilbake i 1996 beskrev Fred Cohen det matematiske grunnlaget for viral teknologi. Dette arbeidet beviste at antallet virus er uendelig. Det er klart at antallet angrep er uendelig, siden virus er en delmengde av mange angrep.

Angrepsmodeller

Tradisjonell angrepsmodell er bygget etter prinsippet (fig. 1) eller (fig. 2), dvs. angrepet kommer fra en enkelt kilde. Utviklere av nettverkssikkerhetsverktøy (brannmurer, inntrengningsdeteksjonssystemer osv.) er fokusert på den tradisjonelle angrepsmodellen. På forskjellige punkter i det beskyttede nettverket er agenter (sensorer) av beskyttelsessystemet installert, som overfører informasjon til den sentrale administrasjonskonsollen. Dette gjør det enklere å skalere systemet, gi enkel fjernadministrasjon osv. Denne modellen takler imidlertid ikke de relativt nylig (i 1998) oppdagede trusselen – distribuerte angrep.
Figur 1. En-til-en-forhold

Den distribuerte angrepsmodellen bruker forskjellige prinsipper. I motsetning til den tradisjonelle modellen i en distribuert modell relasjoner (fig. 3) og (fig. 4) brukes.

Distribuerte angrep er basert på de "klassiske" tjenestenektangrepene, nærmere bestemt en undergruppe av dem kjent som Flom angrep eller Stormangrep(disse begrepene kan oversettes som "storm", "flom" eller "skred"). Meningen med disse angrepene er å sende et stort antall pakker til den angrepne verten. Den angrepne noden kan mislykkes, fordi den "drukner" i skredet av sendte pakker og vil ikke være i stand til å behandle forespørslene fra autoriserte brukere. Slik fungerer SYN-Flood, Smurf, UDP Flood, Targa3 osv. angrep. Imidlertid, hvis båndbredden til kanalen til den angrepne noden overskrider båndbredden til angriperen eller den angrepne noden er feilkonfigurert, vil ikke et slikt angrep føre til "suksess". For eksempel er disse angrepene ubrukelige for å prøve å forstyrre Internett-leverandøren din. Men et distribuert angrep skjer ikke lenger fra ett punkt på Internett, men fra flere samtidig, noe som fører til en kraftig økning i trafikken og deaktivering av den angrepne verten. For eksempel, ifølge Russia-Online, innen to dager, fra kl. 09.00 den 28. desember 2000, ble Armenias største Internett-leverandør "Arminco" utsatt for et distribuert angrep. I dette tilfellet ble mer enn 50 maskiner fra forskjellige land med i angrepet og sendte meningsløse meldinger til "Arminco"-adressen. Det var umulig å fastslå hvem som organiserte dette angrepet og hvilket land hackeren var i. Selv om det hovedsakelig var «Arminko» som ble angrepet, var hele motorveien som forbinder Armenia med World Wide Web overbelastet. Den 30. desember, takket være samarbeidet fra "Arminco" og en annen leverandør - "ArmenTel" - ble forbindelsen fullstendig gjenopprettet. Til tross for dette fortsatte dataangrepet, men med mindre intensitet.

Stadier av angrep

Følgende stadier av angrepsimplementering kan skilles:

Vanligvis, når de snakker om et angrep, mener de nøyaktig den andre fasen, og glemmer den første og den siste. Å samle informasjon og fullføre et angrep («dekke opp sporene») kan på sin side også være et angrep og kan deles inn i tre stadier (se fig. 5).
Figur 5. Stadier av et angrep

Innsamling av informasjon er hovedstadiet i gjennomføringen av et angrep. Det er på dette stadiet at effektiviteten av angriperens arbeid er nøkkelen til angrepets "suksess". Først velges målet for angrepet og informasjon om det samles inn (type og versjon av operativsystemet, åpne porter og kjørende nettverkstjenester, installert system- og applikasjonsprogramvare og dets konfigurasjon, etc.). Deretter identifiseres de mest sårbare punktene i det angrepne systemet, påvirkningen som fører til ønsket resultat for angriperen. Angriperen prøver å identifisere alle kommunikasjonskanaler til angrepsmålet med andre verter. Dette vil tillate ikke bare å velge typen angrep som skal implementeres, men også kilden til implementeringen. For eksempel kommuniserer den angrepne verten med to servere som kjører Unix og Windows NT. Den angrepne noden har et klarert forhold til én server, men ikke med en annen. Serveren som angriperen implementerer angrepet gjennom, bestemmer hvilket angrep som skal brukes, hvilke implementeringsmåter som skal velges, og så videre. Deretter, avhengig av informasjonen som mottas og ønsket resultat, velges angrepet som gir størst effekt. For eksempel:
SYN Flood, Teardrop, UDP Bomb - for å forstyrre funksjonen til noden;
CGI-skript - for å penetrere nettstedet og stjele informasjon;
PHF - for å stjele en passordfil og ekstern gjette passord, etc.

Tradisjonelle forsvar, som brannmurer eller filtreringsmekanismer i rutere, trer i kraft først i det andre stadiet av et angrep, og "glemmer" fullstendig om det første og tredje. Dette fører til at angrepet ofte er svært vanskelig å stoppe, selv med tilstedeværelsen av kraftige og dyre forsvarsmidler. Et eksempel på dette er distribuerte angrep. Det vil være logisk at beskyttelsesmidlene begynner å virke på første trinn, dvs. ville hindre muligheten for å samle informasjon om det angrepne systemet. Dette ville gjøre det mulig, om ikke fullstendig å forhindre angrepet, så i det minste komplisere arbeidet til angriperen betydelig. Tradisjonelle midler tillater heller ikke å oppdage allerede begåtte angrep og vurdere skaden etter implementeringen, dvs. ikke fungerer i den tredje fasen av angrepet. Det er derfor umulig å definere tiltak for å forhindre slike angrep i fremtiden.

Avhengig av ønsket resultat, konsentrerer inntrengeren seg på et eller annet stadium av angrepet. For eksempel:
for tjenestenekt blir det angrepne nettverket analysert i detalj, smutthull og svake punkter letes etter i det;
for å stjele informasjon er fokuset på usynlig penetrasjon av de angrepne nodene ved å bruke tidligere oppdagede sårbarheter.

La oss vurdere hovedmekanismene for å implementere angrep. Dette er nødvendig for å forstå hvordan man oppdager disse angrepene. I tillegg er det å forstå prinsippene for angripernes handlinger nøkkelen til vellykket nettverksforsvar.

1. Innhenting av informasjon

Det første trinnet i implementeringen av angrep er innsamling av informasjon om det angrepne systemet eller verten. Det inkluderer slike handlinger som å bestemme nettverkstopologien, typen og versjonen av operativsystemet til den angrepne noden, samt tilgjengelig nettverk og andre tjenester, etc. Disse handlingene gjennomføres på ulike måter.

Utforske miljøet

På dette stadiet utforsker angriperen nettverksmiljøet rundt det tiltenkte målet for angrepet. Slike områder inkluderer for eksempel nettstedene til "offeret" ISP eller nettstedene til det eksterne kontoret til det angrepne selskapet. På dette stadiet kan en angriper prøve å finne adressene til "klarerte" systemer (for eksempel partnerens nettverk) og noder som er direkte koblet til formålet med angrepet (for eksempel en ISP-ruter), etc. Slike handlinger er ganske vanskelige å oppdage, siden de utføres over en tilstrekkelig lang tidsperiode og utenfor området kontrollert av beskyttelsesmidlene (brannmurer, inntrengningsdeteksjonssystemer, etc.).

Identifikasjon av nettverkstopologi

Det er to hovedmetoder som brukes av angripere for å bestemme nettverkstopologien:

1. endre TTL (TTL-modulasjon),
2. registrere rute.

Den første metoden brukes av traceroute for Unix og tracert for Windows. De bruker Time to Live-feltet i IP-pakkehodet, som varierer avhengig av antall rutere pakken har gått gjennom. Ping-verktøyet kan brukes til å registrere ruten til ICMP-pakken. Nettverkstopologi kan ofte spores ved hjelp av SNMP, som er installert på mange nettverksenheter som ikke er riktig konfigurert for sikkerhet. Ved hjelp av RIP kan du prøve å få informasjon om rutetabellen i nettverket osv.

Mange av disse metodene brukes av moderne styringssystemer (f.eks. HP OpenView, Cabletron SPECTRUM, MS Visio, etc.) for å bygge nettverkskart. Og de samme metodene kan med hell brukes av inntrengere for å bygge et kart over det angrepne nettverket.

Identifisere noder

Vertsidentifikasjon oppnås vanligvis ved å sende ICMP ECHO_REQUEST-kommandoen ved å bruke ping-verktøyet. ECHO_REPLY-svarmeldingen indikerer at noden er tilgjengelig. Det finnes freeware-programmer som automatiserer og fremskynder prosessen med å identifisere et stort antall noder parallelt, for eksempel fping eller nmap. Faren med denne metoden er at ECHO_REQUEST-forespørslene ikke registreres av standardmidlene til noden. Dette krever bruk av trafikkanalyseverktøy, brannmurer eller inntrengningsdeteksjonssystemer.

Dette er den enkleste metoden for å identifisere noder. Det har imidlertid to ulemper.

1. Mange nettverksenheter og -programmer blokkerer ICMP-pakker og lar dem ikke komme inn i det interne nettverket (eller omvendt, ikke la dem komme ut). For eksempel tillater ikke MS Proxy Server 2.0 pakker å passere gjennom ICMP-protokollen. Resultatet er et ufullstendig bilde. På den annen side, blokkering av en ICMP-pakke forteller angriperen at det er en "første forsvarslinje" - rutere, brannmurer osv.
2. Bruken av ICMP-forespørsler gjør det enkelt å finne kilden deres, noe som selvfølgelig ikke kan være en angripers oppgave.

Det er en annen metode for å identifisere noder - ved å bruke den "blandet" modusen til nettverkskortet, som lar deg identifisere forskjellige noder på et nettverkssegment. Men det er ikke aktuelt i tilfeller der trafikken til nettverkssegmentet ikke er tilgjengelig for angriperen fra hans egen node, dvs. denne metoden gjelder kun på lokale nettverk. En annen metode for å identifisere noder på et nettverk kalles DNS-rekognosering, som lar deg identifisere noder på et bedriftsnettverk ved å ringe en navnetjenesteserver.

Tjenesteidentifikasjon eller portskanning

Tjenesteidentifikasjon gjøres vanligvis ved portskanning. Disse portene er veldig ofte forbundet med tjenester basert på TCP- eller UDP-protokollene. For eksempel:

• åpen port 80 innebærer tilstedeværelsen av en webserver,
• 25. port - e-post SMTP-server,
• 31337th - serversiden til BackOrifice-trojanske hesten,
• 12345th eller 12346th - serversiden til NetBus trojanske hest, etc.

Ulike programmer kan brukes til å identifisere tjenester og skanne porter, inkl. og fritt omdistribuerbar. For eksempel nmap eller netcat.

Operativsystemidentifikasjon

Hovedmekanismen for ekstern OS-deteksjon er analysen av svar på spørsmål, tatt i betraktning forskjellige implementeringer av TCP / IP-stakken i forskjellige operativsystemer. Hvert operativsystem har sin egen implementering av TCP / IP-protokollstabelen, som gjør det mulig, ved å bruke spesielle forespørsler og svar på dem, å bestemme hvilket operativsystem som er installert på den eksterne noden.

En annen, mindre effektiv og ekstremt begrenset måte å identifisere nodenes OS på er å analysere nettverkstjenestene som ble oppdaget i forrige trinn. For eksempel lar en åpen port 139 oss konkludere med at den eksterne verten mest sannsynlig kjører et Windows-operativsystem. Ulike programmer kan brukes til å bestemme OS. For eksempel nmap eller queso.

Definere rollen til en node

Det nest siste trinnet på stadiet for å samle informasjon om den angrepne verten er å bestemme dens rolle, for eksempel å utføre funksjonene til en brannmur eller webserver. Dette trinnet utføres basert på informasjonen som allerede er samlet inn om aktive tjenester, vertsnavn, nettverkstopologi, etc. For eksempel kan en åpen port 80 indikere en webserver, blokkering av en ICMP-pakke indikerer en potensiell brannmur, og DNS-vertsnavnet proxy.domain.ru eller fw.domain.ru taler for seg selv.

Identifisering av vertssårbarheter

Det siste trinnet er å søke etter sårbarheter. På dette trinnet bruker en angriper ulike automatiserte verktøy eller identifiserer manuelt sårbarheter som kan utnyttes til å utføre et angrep. Slike automatiserte verktøy kan være ShadowSecurityScanner, nmap, Retina, etc.

2. Gjennomføring av angrepet

Fra dette øyeblikket begynner et forsøk på å få tilgang til den angrepne noden. I dette tilfellet kan tilgangen både være direkte, dvs. penetrering av noden, og indirekte, for eksempel ved implementering av et tjenestenektangrep. Implementering av angrep ved direkte tilgang kan også deles inn i to stadier:

• penetrasjon;
• etablering av kontroll.

Penetrasjon

Penetrasjon innebærer å overvinne perimeterforsvar (som en brannmur). Dette kan implementeres på ulike måter. For eksempel å utnytte en sårbarhet i en datatjeneste som "ser" utover eller ved å overføre fiendtlig innhold via e-post (makrovirus) eller via Java-appleter. Slikt innhold kan bruke såkalte «tunneler» i brannmuren (ikke å forveksle med VPN-tunneler), som en angriper så trenger gjennom. Det samme stadiet kan tilskrives valget av et administratorpassord eller en annen bruker som bruker et spesialverktøy (for eksempel L0phtCrack eller Crack).

Etablering av kontroll

Etter penetrering tar angriperen kontroll over den angrepne noden. Dette kan oppnås ved å implementere et trojansk hest-program (som NetBus eller BackOrifice). Etter å ha etablert kontroll over den ønskede noden og "dekket opp" sporene, kan angriperen utføre alle nødvendige uautoriserte handlinger eksternt uten at eieren av den angrepne datamaskinen vet om det. Samtidig må etableringen av kontroll over en node i bedriftsnettverket bevares selv etter at operativsystemet er startet på nytt. Dette kan oppnås ved å erstatte en av oppstartsfilene eller ved å lime inn en lenke til den fiendtlige koden i oppstartsfilene eller systemregisteret. Det er et kjent tilfelle når en angriper var i stand til å omprogrammere EEPROM-en til et nettverkskort, og selv etter å ha installert operativsystemet på nytt, var han i stand til å implementere uautoriserte handlinger på nytt. En enklere modifikasjon av dette eksemplet er å injisere den nødvendige koden eller kodebiten i et nettverksoppstartsskript (for eksempel for Novell Netware).

Formål med angrepsimplementering

Stadiet for fullføring av angrepet er å "dekke over sporene" fra angriperens side. Dette oppnås vanligvis ved å fjerne relevante oppføringer fra vertsloggene og andre handlinger som returnerer det angrepne systemet til dets opprinnelige, "forangrepne" tilstand.

Angrepsklassifisering

Det finnes ulike typer angrepsklassifisering. For eksempel inndelingen i passiv og aktiv, ytre og indre, tilsiktet og utilsiktet. For ikke å forvirre deg med et stort utvalg av klassifiseringer som ikke er særlig anvendelige i praksis, foreslår jeg en mer "viktig" klassifisering:

1. Ekstern penetrering... Angrep som tillater fjernkontroll av en datamaskin over et nettverk. For eksempel NetBus eller BackOrifice.
2. Lokal penetrasjon... Et angrep som fører til å få uautorisert tilgang til verten som det er lansert på. For eksempel GetAdmin.
3. Fjerntjenestenekt... Angrep som forstyrrer eller overbelaster en datamaskin over Internett. For eksempel Teardrop eller trin00.
4. Lokal tjenestenekt... Angrep som forstyrrer eller overbelaster datamaskinen de utføres på. Et eksempel på et slikt angrep er en "fiendtlig" applet som laster CPU-en i en uendelig sløyfe, noe som gjør det umulig å behandle forespørsler fra andre applikasjoner.
5. Nettverksskannere... Programmer som analyserer topologien til et nettverk og oppdager tjenester tilgjengelig for angrep. For eksempel nmap-systemet.
6. Sårbarhetsskannere... Programmer som ser etter sårbarheter på nettverksnoder og som kan brukes til å implementere angrep. For eksempel SATAN-systemet eller ShadowSecurityScanner.
7. Passord-crackere... Programmer som "gjetter" brukerpassord. For eksempel L0phtCrack for Windows eller Crack for Unix.
8. Protokollanalysatorer (sniffer)... Programmer som "lytter" til nettverkstrafikk. Disse programmene kan automatisk søke etter informasjon som bruker-IDer og passord, kredittkortinformasjon og mer. For eksempel Microsoft Network Monitor, NetXRay fra Network Associates eller LanExplorer.

Internet Security Systems, Inc. reduserte antallet mulige kategorier ytterligere, og brakte dem til 5:

1. Informasjonsinnhenting.
2. Uautoriserte tilgangsforsøk.
3. Denial of service.
4. Mistenkelig aktivitet.
5. Systemangrep.

De første 4 kategoriene er relatert til eksterne angrep, og den siste til lokale angrep, implementert på den angrepne verten. Det kan bemerkes at denne klassifiseringen ikke inkluderer en hel klasse av såkalte "passive" angrep ("lytte"-trafikk, "falsk DNS-server", "ARP-serverforfalskning", etc.).

Klassifiseringen av angrep implementert i mange inntrengningsdeteksjonssystemer kan ikke være kategorisk. For eksempel kan et angrep hvis implementering på et Unix-operativsystem (for eksempel en statd bufferoverflyt) ha de mest alvorlige konsekvensene (høyest prioritet), ikke være aktuelt i det hele tatt for Windows NT-operativsystemet eller ha en svært lav grad av risiko. I tillegg er det forvirring i navn på angrep og sårbarheter. Det samme angrepet kan ha forskjellige navn for forskjellige leverandører av inntrengningsdeteksjonssystemer.

En av de beste sårbarhets- og angrepsdatabasene er X-Force-databasen som ligger på http://xforce.iss.net/. Den kan nås enten ved å abonnere på den gratis e-postlisten X-Force Alert eller ved å søke interaktivt i databasen på ISS webserver.

Konklusjon

Uten sårbarheter i komponentene i informasjonssystemer, ville det være umulig å implementere mange angrep, og derfor ville tradisjonelle beskyttelsessystemer være ganske effektive i å takle mulige angrep. Imidlertid er programmer skrevet av folk som gjør feil. Som et resultat dukker det opp sårbarheter som brukes av nettkriminelle til å utføre angrep. Dette er imidlertid bare halve problemet. Hvis alle angrep ble bygget på en-til-en-basis, ville det vært en strekk, men brannmurer og andre forsvarssystemer ville også kunne motstå dem. Men det har dukket opp koordinerte angrep, som tradisjonelle midler ikke lenger er like effektive mot. Og så dukker det opp nye teknologier på scenen – angrepsdeteksjonsteknologier. Ovennevnte systematisering av data om angrep og stadier av deres implementering gir det nødvendige grunnlaget for å forstå angrepsdeteksjonsteknologier.

Deteksjonsverktøy for dataangrep

Angrepsdeteksjonsteknologi skal løse følgende oppgaver:

• Gjenkjennelse av kjente angrep og advarsel til passende personell om dem.
• «Forstå» de ofte uforståelige informasjonskildene om angrep.
• Avlaste eller redusere belastningen på sikkerhetspersonell fra rutineoperasjonene med å overvåke brukere, systemer og nettverk som er komponenter i bedriftsnettverket.
• Evnen til å administrere beskyttelse fra ikke-sikkerhetseksperter.
• Kontroll over alle handlinger til fagene i bedriftsnettverket (brukere, programmer, prosesser, etc.).

Ofte inntrengningsdeteksjonssystemer kan utføre funksjoner som betydelig utvider applikasjonsområdet. For eksempel,

• Overvåking av effektiviteten til brannmurer. For eksempel å installere et inntrengningsdeteksjonssystem etter brannmur(inne i bedriftsnettverket) lar deg oppdage angrep som ITU går gjennom og dermed identifisere manglende regler på brannmuren.
• Kontroll av verter med avinstallerte oppdateringer eller verter med utdatert programvare.
• Blokkering og kontroll av tilgang til visse internettsider. Selv om inntrengningsdeteksjonssystemer er langt fra brannmurer og tilgangskontrollsystemer for ulike URL-er, for eksempel WEBsweeper, kan de delvis kontrollere og blokkere tilgangen til enkelte brukere av bedriftsnettverket til visse Internett-ressurser, for eksempel til webservere med pornografisk innhold. Dette er nødvendig når organisasjonen ikke har penger til å kjøpe både brannmur og inntrengningsdeteksjonssystem, og ITU-funksjonene er fordelt mellom inntrengningsdeteksjonssystemet, en ruter og en proxy-server. I tillegg kan inntrengningsdeteksjonssystemer overvåke ansattes tilgang til servere basert på nøkkelord. For eksempel sex, jobb, crack osv.
• E-postkontroll. Inntrengningsdeteksjonssystemer kan brukes til å overvåke upålitelige ansatte som bruker e-post til å utføre oppgaver utenfor deres funksjonelle ansvar, for eksempel å sende CV. Noen systemer kan oppdage virus i e-postmeldinger, og selv om de er langt fra ekte antivirussystemer, utfører de fortsatt denne oppgaven ganske effektivt.

Den beste bruken av tiden og ekspertisen til profesjonelle innen informasjonssikkerhet er å identifisere og adressere grunnårsaken til et angrep, i stedet for selve angrepet. Ved å eliminere årsakene til angrep, dvs. Etter å ha oppdaget og eliminert sårbarheter, eliminerer administratoren dermed selve faktumet med potensielle angrep. Ellers vil angrepet bli gjentatt om og om igjen, og stadig kreve innsats og oppmerksomhet fra administratoren.

Klassifisering av inntrengningsdeteksjonssystemer

Det er mange forskjellige klassifiseringer av inntrengningsdeteksjonssystemer, men den vanligste klassifiseringen er basert på implementeringsprinsippet:

1. vertsbasert, det vil si å oppdage angrep rettet mot en spesifikk nettverksnode,
2. nettverksbasert, det vil si å oppdage angrep rettet mot hele nettverket eller nettverkssegmentet.

Inntrengningsdeteksjonssystemer som overvåker en enkelt datamaskin, som regel samler og analyserer informasjon fra loggene til operativsystemet og ulike applikasjoner (webserver, DBMS, etc.). Dette er hvordan RealSecure OS Sensor fungerer. Nylig har imidlertid systemer som er tett integrert med OS-kjernen begynt å spre seg, og gir dermed en mer effektiv måte å oppdage brudd på sikkerhetspolitikken. Dessuten kan denne integrasjonen implementeres på to måter. For det første kan alle OS-systemanrop overvåkes (dette er hvordan Entercept fungerer) eller all innkommende/utgående nettverkstrafikk (dette er hvordan RealSecure Server Sensor fungerer). I sistnevnte tilfelle fanger inntrengningsdeteksjonssystemet all nettverkstrafikk direkte fra nettverkskortet, og omgår operativsystemet, noe som reduserer avhengigheten av det og dermed øker sikkerheten til inntrengningsdeteksjonssystemet.

Nettverkslags inntrengningsdeteksjonssystemer samle informasjon fra selve nettverket, det vil si fra nettverkstrafikk. Disse systemene kan kjøres på vanlige datamaskiner (for eksempel RealSecure Network Sensor), på spesialiserte datamaskiner (for eksempel RealSecure for Nokia eller Cisco Secure IDS 4210 og 4230), eller integrert i rutere eller svitsjer (for eksempel CiscoSecure IOS Integrated Software eller Cisco Catalyst 6000 IDS-modul). I de to første tilfellene samles den analyserte informasjonen inn ved å fange og analysere pakker ved å bruke nettverksgrensesnitt i en promiskuøs modus. I sistnevnte tilfelle fanges trafikk fra bussen til nettverksutstyret.

Deteksjon av angrep krever oppfyllelse av en av to betingelser - enten en forståelse av den forventede oppførselen til det overvåkede objektet i systemet eller kunnskap om alle mulige angrep og deres modifikasjoner. I det første tilfellet brukes teknologi for oppdagelse av unormal atferd, og i det andre tilfellet, teknologi for oppdagelse av ondsinnet atferd eller misbruk. Den andre teknikken er å beskrive et angrep i form av et mønster eller signatur og søke etter dette mønsteret i et kontrollert rom (for eksempel nettverkstrafikk eller logger). Denne teknologien er veldig lik virusdeteksjon (antivirussystemer er et godt eksempel på et inntrengningsdeteksjonssystem), dvs. systemet kan oppdage alle kjente angrep, men det er ikke godt egnet for å oppdage nye, foreløpig ukjente, angrep. Tilnærmingen implementert i slike systemer er veldig enkel, og det er på den at praktisk talt alle angrepsdeteksjonssystemer som tilbys på markedet er basert.

Nesten alle inntrengningsdeteksjonssystemer er basert på signaturtilnærmingen.

Fordeler med inntrengningsdeteksjonssystemer

De ulike fordelene med verts- og nettverkan lenge regnes opp. Jeg vil imidlertid fokusere på bare noen få av dem.

Bytting gjør at store nettverk kan administreres som flere små nettverkssegmenter. Som et resultat kan det være vanskelig å finne det beste stedet å installere et system som oppdager angrep i nettverkstrafikk. Span-porter på brytere kan noen ganger hjelpe, men ikke alltid. Stedspesifikk angrepsdeteksjon gir mer effektiv drift i svitsjede nettverk, ettersom den lar deg plassere deteksjonssystemer kun på de stedene der det er nødvendig.

Nettverkslagssystemer krever ikke programvare for inntrengningsdeteksjon som skal installeres på hver vert. Siden antallet nettsteder der IDS er installert for å overvåke hele nettverket er lite, er kostnadene ved å drive dem på bedriftsnettverket lavere enn kostnadene for å drive inntrengningsdeteksjonssystemer på systemnivå. I tillegg trengs bare én sensor for å overvåke et nettverkssegment, uavhengig av antall noder i det segmentet.

Nettverkspakken, etter å ha forlatt angriperens datamaskin, kan ikke lenger returneres. Systemer som opererer på nettverkslaget bruker live trafikk for å oppdage angrep i sanntid. Dermed kan ikke en angriper fjerne spor etter sin uautoriserte aktivitet. De analyserte dataene inkluderer ikke bare informasjon om angrepsmetoden, men også informasjon som kan hjelpe til med å identifisere angriperen og bevise det i retten. Siden mange hackere er kjent med systemloggingsmekanismene, vet de hvordan de skal manipulere disse filene for å skjule sporene deres, noe som reduserer effektiviteten til systemene på systemnivå som trenger denne informasjonen for å oppdage et angrep.

Systemer som opererer på nettverksnivå oppdager mistenkelige hendelser og angrep etter hvert som de oppstår, og gir derfor mye raskere varsling og respons enn systemer som analyserer loggene. For eksempel kan en hacker som initierer et TCP-basert tjenestenektangrep stoppes ved at Network Layer Intrusion Detection System sender en TCP-pakke med Reset-headeren satt til å avslutte forbindelsen til den angripende verten før angrepet forårsaker avbrudd eller skade til den angrepne noden. Logganalysesystemer gjenkjenner ikke angrep før de er logget og svarer etter at loggen er skrevet. På dette tidspunktet kan de mest kritiske systemene eller ressursene allerede være kompromittert eller forstyrret av systemet som utløser inntrengningsdeteksjonssystemet på vertsnivå. Sanntidsvarsling lar deg raskt svare i henhold til forhåndsdefinerte parametere. Rekkevidden av disse svarene spenner fra å tillate infiltrasjon i overvåkingsmodus for å samle informasjon om angrepet og angriperen til umiddelbart å avslutte angrepet.

Til slutt er inntrengningsdeteksjonssystemer på nettverksnivå uavhengige av operativsystemene som er installert på bedriftsnettverket, siden de opererer på nettverkstrafikk som utveksles av alle noder i bedriftsnettverket. Inntrengningsdeteksjonssystemet bryr seg ikke om hvilket operativsystem som genererte en bestemt pakke så lenge den er i samsvar med standardene som støttes av deteksjonssystemet. Nettverket kan for eksempel kjøre Windows 98, Windows NT, Windows 2000 og XP, Netware, Linux, MacOS, Solaris, etc., men hvis de kommuniserer med hverandre via IP, vil alle som støtter denne protokollen , vil kunne oppdage angrep rettet mot disse operativsystemene.

Å kombinere nettverks- og vertsnivå inntrengningsdeteksjonssystemer vil øke sikkerheten til nettverket ditt.

Nettverkog brannmurer

Oftest forsøkes nettverå erstatte brannmurer, basert på det faktum at sistnevnte gir et svært høyt sikkerhetsnivå. Husk imidlertid at brannmurer ganske enkelt er regelbaserte systemer som tillater eller nekter trafikk gjennom dem. Selv brannmurer bygget ved hjelp av ""-teknologien gjør det ikke mulig å si med sikkerhet om angrepet er tilstede i trafikken de kontrollerer eller ikke. De kan se om trafikken samsvarer med regelen eller ikke. For eksempel er ITU konfigurert til å blokkere alle tilkoblinger unntatt TCP-tilkoblinger på port 80 (dvs. HTTP-trafikk). Så all trafikk på port 80 er lovlig fra ITUs synspunkt. På den annen side overvåker inntrengningsdeteksjon også trafikken, men ser etter tegn på angrep. Hun bryr seg lite om hvilken havn trafikken går til. Som standard er all trafikk til inntrengningsdeteksjonssystemet mistenkelig. Det vil si at til tross for at inntrengningsdeteksjonssystemet fungerer med samme datakilde som ITU, det vil si med nettverkstrafikk, utfører de funksjoner som utfyller hverandre. For eksempel HTTP-forespørselen "GET /../../../etc/passwd HTTP / 1.0". Nesten enhver ITU lar denne forespørselen gå gjennom seg selv. Imidlertid vil inntrengningsdeteksjonssystemet enkelt oppdage dette angrepet og blokkere det.

Følgende analogi kan trekkes. En brannmur er en konvensjonell turnstile installert ved hovedinngangen til nettverket ditt. Men foruten hoveddørene er det andre dører samt vinduer. En angriper kan forkle seg som en ekte ansatt eller få tillit til sikkerhetsvakten ved vendekorset, og smugle en eksplosiv enhet eller en pistol gjennom vendekorset. Lite av. En inntrenger kan komme seg inn gjennom vinduet. Det er grunnen til at det er behov for inntrengningsdeteksjonssystemer som forbedrer beskyttelsen som tilbys av brannmurer, som om enn er et nødvendig, men klart utilstrekkelig element i nettverkssikkerheten.

Brannmur- ikke et universalmiddel!

Varianter av reaksjoner på et oppdaget angrep

Det er ikke nok å oppdage et angrep - det er nødvendig å reagere på det deretter. Det er responsalternativene som i stor grad bestemmer effektiviteten til inntrengningsdeteksjonssystemet. Til dags dato tilbys følgende svaralternativer:

• Melding til konsollen (inkludert sikkerhetskopiering) av inntrengningsdeteksjonssystemet eller til konsollen til et integrert system (som en brannmur).
• Lydvarsling om angrepet.
• Generering av SNMP-kontrollsekvenser for nettverksstyringssystemer.
• Generer en e-postmelding om et angrep.
• Ytterligere varsler via personsøker eller faks. En veldig interessant, om enn sjeldent brukt funksjon. Varselet om oppdagelse av uautorisert aktivitet sendes ikke til administratoren, men til angriperen. I følge tilhengerne av dette svaralternativet, blir overtrederen, etter å ha fått vite at han ble oppdaget, tvunget til å stoppe handlingene sine.
• Obligatorisk registrering av oppdagede hendelser. Følgende kan fungere som loggbok:
  • tekstfil,
  • syslog (for eksempel i Cisco Secure Integrated Software-systemet),
  • en tekstfil med et spesielt format (for eksempel i Snort-systemet),
  • lokal MS Access-database,
  • SQL-database (for eksempel i RealSecure-systemet).
  Det er bare nødvendig å ta hensyn til at volumene av den registrerte informasjonen som regel krever en SQL-base - MS SQL eller Oracle.
• Hendelsesspor, dvs. registrere dem i sekvensen og med hastigheten som angriperen implementerte dem. Da kan administratoren til enhver tid spille av (replay eller avspilling) den nødvendige sekvensen av hendelser med en gitt hastighet (i sanntid, med akselerasjon eller retardasjon) for å analysere aktiviteten til angriperen. Dette vil tillate deg å forstå hans kvalifikasjoner, angrepsmidlene som brukes, etc.
• Avbrytelse av angriperens handlinger, dvs. avslutning av forbindelsen. Dette kan gjøres som:
  • avskjæring av en forbindelse (sesjonskapring) og sending av en pakke med RST-flagget satt til begge deltakerne i en nettverksforbindelse på vegne av hver av dem (i et inntrengningsdeteksjonssystem som opererer på nettverksnivå);
  • Blokkering av brukerkontoen til angriperen (i inntrengningsdeteksjonssystemet på vertsnivå). Slik blokkering kan utføres enten i en spesifisert tidsperiode, eller til kontoen låses opp av administratoren. Avhengig av privilegiene som inntrengningsdeteksjonssystemet startes med, kan blokkering operere både innenfor selve måldatamaskinen og innenfor hele nettverksdomenet.
• Rekonfigurering av nettverksutstyr eller brannmurer. Hvis det oppdages et angrep på ruteren eller brannmuren, sendes en kommando for å endre tilgangskontrolllisten. Deretter vil alle forsøk på å koble fra den angripende verten bli avvist. I tillegg til å blokkere angriperens konto, kan tilgangskontrolllisten endres enten for et spesifisert tidsintervall eller til endringen kanselleres av administratoren for det rekonfigurerbare nettverksutstyret.
• Blokkering av nettverkstrafikk slik den er implementert i brannmurer. Dette alternativet lar deg begrense trafikk, så vel som mottakere som kan få tilgang til ressursene til den beskyttede datamaskinen, slik at du kan utføre funksjoner som er tilgjengelige i personlige brannmurer.