Aktivni napadi izvedeni na nivou mreže. Klasifikacija daljinskih napada

20.06.05 37.3K

Internet u potpunosti mijenja naš način života: posao, učenje, slobodno vrijeme. Ove promjene će se dogoditi kako u oblastima koje već poznajemo (elektronska trgovina, pristup informacijama u realnom vremenu, povećane komunikacijske mogućnosti, itd.), tako i u onim oblastima o kojima još nemamo ideju.

Možda će doći vrijeme kada će korporacija sve svoje telefonske pozive obavljati preko Interneta, potpuno besplatno. U privatnom životu mogu se pojaviti posebne web stranice uz pomoć kojih roditelji u svakom trenutku mogu saznati kako im je djeca. Naše društvo tek počinje da shvata neograničene mogućnosti interneta.

Uvod

Istovremeno sa enormnim rastom popularnosti interneta, javlja se neviđena opasnost od otkrivanja ličnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

Hakeri svakodnevno prijete ovim resursima pokušavajući im pristupiti koristeći posebne napade koji s jedne strane postepeno postaju sofisticiraniji i lakši za izvođenje s druge. Dva glavna faktora doprinose tome.

Prvo, ovo je široka penetracija interneta. Danas postoje milioni uređaja povezanih na Internet, a mnogi milioni uređaja će biti povezani na Internet u bliskoj budućnosti, što čini sve vjerovatnijim da će hakeri dobiti pristup ranjivim uređajima.

Osim toga, široka upotreba Interneta omogućava hakerima da razmjenjuju informacije na globalnom nivou. Jednostavna pretraga ključnih riječi kao što su “haker”, “hakiranje”, “hack”, “crack” ili “phreak” vratit će vam hiljade stranica, od kojih mnoge sadrže zlonamjerni kod i kako ga koristiti.

Drugo, ovo je najšira distribucija operativnih sistema i razvojnih okruženja lakih za upotrebu. Ovaj faktor naglo smanjuje nivo znanja i vještina potrebnih hakeru. Ranije, da bi kreirao i distribuirao aplikacije jednostavne za korištenje, haker je morao imati dobre programerske vještine.

Sada, da biste dobili pristup hakerskom alatu, potrebno je samo znati IP adresu željenog sajta, a da biste izvršili napad, samo jednim klikom miša.

Klasifikacija mrežnih napada

Mrežni napadi su različiti kao i sistemi na koje ciljaju. Neki napadi su vrlo složeni, dok su drugi u mogućnostima običnog operatera, koji ni ne zamišlja posljedice svojih aktivnosti. Da biste procijenili tipove napada, morate znati neka od inherentnih ograničenja TPC/IP protokola. Net

Internet je stvoren za komunikaciju između vladine agencije i univerzitete da pomognu obrazovni proces i naučno istraživanje. Kreatori ove mreže nisu ni slutili koliko će ona postati raširena. Kao rezultat toga, specifikacije ranije verzije Internet protokol (IP) nije imao bezbednosne zahteve. Zbog toga su mnoge IP implementacije inherentno ranjive.

Nakon mnogo godina, nakon mnogih pritužbi (Request for Comments, RFC), sigurnosne mjere za IP konačno su počele da se implementiraju. Međutim, zbog činjenice da mjere sigurnosti za IP protokol nisu inicijalno razvijene, sve njegove implementacije su počele da se dopunjuju raznim mrežnim procedurama, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo ukratko pogledati tipove napada koji se obično koriste na IP mreže i navesti načine za borbu protiv njih.

Sniffer paketa

Sniffer paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala u aplikaciju na obradu).

U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određeni domen. Trenutno, njuškari rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnostiku kvarova i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3, itd..), pomoću njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sistema. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.

Ako aplikacija radi u klijent-server modu, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri suviše dobro poznaju i iskorištavaju ljudske slabosti (metode napada su često zasnovane na metodama društvenog inženjeringa).

Oni su svjesni da koristimo istu lozinku za pristup mnogim resursima i stoga često uspijevaju, nakon što su naučili našu lozinku, dobiti pristup važna informacija. U najgorem slučaju, haker dobija pristup korisničkom resursu na nivou sistema i koristi ga za kreiranje novog korisnika koji se može koristiti u bilo kom trenutku za pristup mreži i njenim resursima.

Možete smanjiti opasnost od njuškanja paketa korištenjem sljedećih alata::

Autentifikacija. Jaka autentifikacija je najvažnija odbrana od njuškanja paketa. Pod “jakim” mislimo na metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP).

OTP je tehnologija dvofaktorske autentifikacije koja kombinuje ono što imate sa onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata koji vas identificira, prvo, po vašoj plastičnoj kartici, a drugo po PIN kodu koji unesete. PIN kod i vaša lična kartica su takođe potrebni za autentifikaciju u OTP sistemu.

Pod "karticom" (token) podrazumijevamo hardverski ili softverski alat koji generiše (po principu slučajnog odabira) jedinstvenu jednokratnu, jednokratnu lozinku. Ako haker sazna data lozinka korištenjem sniffera, ove informacije će biti beskorisne, jer će u ovom trenutku lozinka već biti korištena i povučena.

Imajte na umu da je ovaj metod borbe protiv njuškanja efikasan samo u slučajevima presretanja lozinke. Njuškači koji presreću druge informacije (kao što su poruke e-pošte) ostaju na snazi.

Komutirana infrastruktura. Drugi način za borbu protiv njuškanja paketa u vašem mrežnom okruženju je kreiranje komutirane infrastrukture. Ako, na primjer, cijela organizacija koristi dial-up Ethernet, hakeri mogu pristupiti samo prometu koji dolazi na port na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

Antisniffers. Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali kao i mnogi drugi alati za mrežnu sigurnost, uključeni su zajednički sistem zaštita. Antisniffers mjere vrijeme odgovora hosta i određuju da li hostovi moraju obraditi nepotreban promet. Jedan takav proizvod, dostupan od LOpht Heavy Industries, zove se AntiSniff.

Kriptografija. Ovaj efikasan metod borba protiv njuškanja paketa, iako ne sprječava presretanje i ne prepoznaje rad sniffera, ali čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv niz bitova). Cisco kriptografija na mrežnom sloju zasnovana je na IPSec-u, koji je standardni metod za sigurnu komunikaciju između uređaja koristeći IP protokol. Ostali kriptografski protokoli za upravljanje mrežom uključuju SSH (Secure Shell) i SSL (Secure Socket Layer) protokole.

IP lažiranje

IP lažiranje se događa kada se haker, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je u opsegu ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima.

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad, koji počinje sa tuđe adrese, skrivajući pravi identitet hakera.

Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, čak ni ne pokušavaju da dobiju odgovor od aplikacija - ako je glavni cilj da dobiju važnu datoteku iz sistema, onda odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tabele rutiranja i usmjeriti promet na lažnu IP adresu, on će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

Kontrole pristupa. Najlakši način da spriječite lažiranje IP-a je da pravilno konfigurirate kontrolu pristupa. Da biste smanjili efikasnost lažiranja IP-a, konfigurišite kontrolu pristupa tako da odbije svaki saobraćaj koji dolazi sa spoljne mreže sa izvornom adresom koja bi se trebala nalaziti unutar vaše mreže.
Istina, ovo pomaže u borbi protiv lažiranja IP-a, kada su ovlaštene samo interne adrese; ako su neke vanjske mrežne adrese također ovlaštene, ova metoda postaje neefikasna;
RFC 2827 filtriranje. Možete spriječiti korisnike na vašoj mreži da lažiraju mreže drugih ljudi (i postati dobar građanin na mreži). Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije.
Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvršiti vaš Internet provajder (ISP). Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primer, ako ISP obezbedi vezu na IP adresu 15.1.1.0/24, može da konfiguriše filter tako da je dozvoljen samo saobraćaj koji potiče od 15.1.1.0/24 sa tog interfejsa na ruter ISP-a.

Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova učinkovitost će biti mnogo niža od moguće. Osim toga, što ste dalje od uređaja koji se filtriraju, to je teže izvršiti preciznu filtraciju. Na primjer, RFC 2827 filtriranje na nivou pristupnog rutera zahtijeva prolazak cijelog saobraćaja sa glavne mrežne adrese (10.0.0.0/8), dok je na distributivnom nivou (u datoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1.5.0/24).

Najefikasnija metoda za borbu protiv lažiranja IP-a je ista kao u slučaju njuškanja paketa: morate učiniti napad potpuno neefikasnim. IP lažiranje može funkcionirati samo ako je autentifikacija zasnovana na IP adresama.

Stoga, uvođenje dodatnih metoda provjere autentičnosti takve napade čini beskorisnim. Najbolja vrsta dodatne autentifikacije je kriptografska. Ako to nije moguće, dvofaktorska autentifikacija korištenjem jednokratnih lozinki može dati dobre rezultate.

Uskraćivanje usluge

Uskraćivanje usluge (DoS) je bez sumnje najpoznatiji oblik hakerskih napada. Osim toga, od ovih vrsta napada najteže je stvoriti 100% zaštitu. Među hakerima se DoS napadi smatraju dečjom igrom, a njihova upotreba izaziva prezrivo osmehivanje, jer organizovanje DoS-a zahteva minimum znanja i veština.

Ipak, upravo jednostavnost implementacije i enormni razmjeri prouzrokovane štete DoS privlači veliku pažnju administratora odgovornih za sigurnost mreže. Ako želite saznati više o DoS napadima, trebali biste razmotriti najpoznatije vrste, a to su:

TCP SYN Flood;
Ping smrti;
Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
Trinco;
Stacheldracht;
Trinity.

Odličan izvor sigurnosnih informacija je tim za hitne intervencije. kompjuterski problemi(Computer Emergency Response Team, CERT), koji je objavio odličan rad u borbi protiv DoS napada.

DoS napadi se razlikuju od drugih vrsta napada. Oni nemaju za cilj dobivanje pristupa vašoj mreži, niti dobivanje bilo kakvih informacija iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem prihvatljivih ograničenja mreže, operativnog sistema ili aplikacije.

U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uključivati preuzimanje svih veza dostupnih tim aplikacijama i njihovo zadržavanje zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internet protokole kao što su TCP i ICMP ( Internet Control Message Protocol).

Većina DoS napada ne cilja na softverske greške ili sigurnosne rupe, već na opšte slabosti u arhitekturi sistema. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa.

Ovu vrstu napada je teško spriječiti jer je potrebna koordinacija s provajderom. Ako kod provajdera ne zaustavite promet koji ima za cilj da preplavi vašu mrežu, tada to više nećete moći učiniti na ulazu u mrežu, jer će sav propusni opseg biti zauzet. Kada napad ovog tipa koji se odvija istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (distributed DoS, DDoS).

Pretnja od DoS napada može se smanjiti na tri načina:

Funkcije protiv lažiranja. Ispravno konfiguriranje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. U najmanju ruku, ove karakteristike bi trebale uključivati filtriranje RFC 2827. Ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će izvršiti napad.
Anti-DoS funkcije. Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
Ograničavanje brzine saobraćaja. Organizacija može zatražiti od svog Internet provajdera (ISP) da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje obima ICMP prometa, koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom koristeći brojne metode, kao što su napad brutalne sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti putem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se zove jednostavna pretraga (napad grube sile).

Često se za takav napad koristi poseban program koji pokušava dobiti pristup javnom resursu (na primjer, serveru). Ako se kao rezultat toga hakeru odobri pristup resursima, tada ga prima s pravima običnog korisnika čija je lozinka odabrana.

Ako ovaj korisnik ima značajne privilegije pristupa, haker može kreirati "pass" za budući pristup koji će ostati važeći čak i ako korisnik promijeni svoju lozinku i login.

Drugi problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sistemima: korporativnim, ličnim i Internet sistemima. Pošto je jačina lozinke jednaka snazi najslabijeg hosta, haker koji nauči lozinku preko tog hosta dobija pristup svim drugim sistemima gde se koristi ista lozinka.

Napadi lozinkom se mogu izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija mogu praktično eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.).

Najbolje lozinke je teško pogoditi i teško pamtiti, što primorava korisnike da ih zapišu na papir. Da bi to izbjegli, korisnici i administratori mogu koristiti brojna nedavna tehnološka dostignuća.

Na primjer, postoje aplikativni programi koji šifriraju listu lozinki koje se mogu pohraniti u džepni računar. Kao rezultat, korisnik treba da zapamti samo jednu složenu lozinku, dok će sve ostale biti pouzdano zaštićene aplikacijom.

Postoji nekoliko metoda kojima se administrator može boriti protiv pogađanja lozinke. Jedan od njih je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u Windows NT okruženju. Ovaj alat će vam brzo pokazati da li je lozinku koju je korisnik izabrao lako pogoditi. Za više informacija posjetite http://www.l0phtcrack.com/.

Čovjek u sredini napada

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja.

Napadi se sprovode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i pribavljanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, izobličenja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

Napadi čovjeka u sredini mogu se efikasno suzbiti samo pomoću kriptografije. Ako haker presretne podatke iz šifrovane sesije, ono što će se pojaviti na njegovom ekranu nije presretnuta poruka, već besmislen skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to bi moglo učiniti mogućim napad Man-in-the-Middle čak iu šifriranom okruženju.

Napadi na nivou aplikacije

Informacije o napadima na nivou aplikacije se široko objavljuju kako bi se administratorima pružila prilika da isprave problem koristeći korektivne module (zakrpe). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.

Glavni problem sa napadima na nivou aplikacije je taj što hakeri često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji iskorištava poznatu slabost web servera često će u TCP napadu koristiti port 80. Pošto web server korisnicima pruža web stranice, zaštitni zid mora omogućiti pristup ovom portu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

Napadi na razini aplikacije ne mogu se u potpunosti eliminirati. Hakeri neprestano otkrivaju i objavljuju nove propuste u aplikacijskim programima na internetu. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko mjera koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

čitanje operativnih sistema i mrežnih log datoteka i/ili analiziranje pomoću posebnih analitičkih aplikacija;
Pretplatite se na uslugu prijavljivanja ranjivosti aplikacije: Bugtrad (http://www.securityfocus.com).

Mrežna inteligencija

Mrežna inteligencija se odnosi na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje se vrši u obliku DNS upita, pingova i skeniranja portova.

DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Ping adresa koje otkriva DNS omogućava vam da vidite koji hostovi zapravo rade u datom okruženju. Nakon što dobije listu hostova, haker koristi alate za skeniranje portova za kompajliranje puna lista usluge koje podržavaju ovi domaćini. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.

Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP eho i eho odgovor na rubnim ruterima, riješit ćete se ping testiranja, ali gubite podatke potrebne za dijagnosticiranje grešaka na mreži.

Osim toga, možete skenirati portove bez preliminarnog ping testiranja - samo će vam trebati više vremena, jer ćete morati skenirati nepostojeće IP adrese. IDS sistemi na nivou mreže i hosta obično rade dobar posao upozoravanja administratora na tekuće izviđanje mreže, omogućavajući im da se bolje pripreme za predstojeći napad i upozore provajdera internetskih usluga (ISP) na čijoj mreži je sistem previše radoznao:

koristiti najnovije verzije operativnih sistema i aplikacija i najnovije module za korekciju (zakrpe);
Osim administracije sistema, koristite sisteme za otkrivanje napada (IDS) - dvije komplementarne ID tehnologije:
- Mrežni IDS sistem (NIDS) nadgleda sve pakete koji prolaze kroz određeni domen. Kada NIDS sistem vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerovatnog napada, generiše alarm i/ili prekida sesiju;
- IDS sistem (HIDS) štiti host koristeći softverske agente. Ovaj sistem se bori samo protiv napada na jednog domaćina.

IDS sistemi u svom radu koriste signature napada, koji su profili određenih napada ili vrsta napada. Potpisi definišu uslove pod kojima se saobraćaj smatra hakerskim. Analozi IDS-a u fizičkom svijetu mogu se smatrati sistemom upozorenja ili nadzornom kamerom.

Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Da bi se smanjio broj lažnih alarma i osigurao ispravno funkcionisanje IDS sistema na mreži, neophodna je pažljiva konfiguracija sistema.

Kršenje povjerenja

Ovaj segment često sadrži DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, hakovanje bilo kojeg od njih dovodi do hakovanja svih ostalih, budući da ovi serveri vjeruju drugim sistemima na svojoj mreži.

Drugi primjer je sistem instaliran na vanjskoj strani zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim na unutrašnjoj strani zaštitnog zida. Ako je vanjski sistem kompromitovan, haker može koristiti odnos povjerenja da prodre u sistem zaštićen zaštitnim zidom.

Rizik od kršenja povjerenja može se smanjiti strožijom kontrolom nivoa povjerenja unutar vaše mreže. Sistemi koji se nalaze izvan zaštitnog zida nikada ne bi trebali imati apsolutno povjerenje od sistema zaštićenih zaštitnim zidom.

Odnosi povjerenja trebaju biti ograničeni na specifične protokole i, ako je moguće, provjereni parametrima koji nisu IP adrese.

Port Forwarding

Eksterni host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutarnjoj strani zaštitnog zida. Dijeljeni host se može povezati i na interni i na eksterni host. Ako haker preuzme zajednički host, može na njega instalirati softver koji preusmerava saobraćaj sa eksternog hosta direktno na interni.

Iako ovo ne krši nijedno pravilo na ekranu, vanjski host dobiva direktan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti takav pristup je netcat. Više informacija možete pronaći na http://www.avian.org.

Glavni način borbe protiv prosljeđivanja portova je korištenje modela snažnog povjerenja (pogledajte prethodni odjeljak). Osim toga, host IDS sistem (HIDS) može spriječiti hakera da instalira svoj softver na hostu.

Neovlašteni pristup

Neovlašteni pristup se ne može identificirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobijanja neovlaštenog pristupa. Da bi pogodio Telnet login, haker prvo mora dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka “potrebna je autorizacija za korištenje ovog resursa” (“ Za korištenje ovog resursa potrebna je autorizacija.»).

Ako haker nastavi pokušavati pristup nakon ovoga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

Metode za borbu protiv neovlaštenog pristupa su prilično jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sistemu korištenjem neovlaštenog protokola.

Kao primjer, razmotrite sprječavanje hakera da pristupe Telnet portu na serveru koji pruža Web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče firewall-a, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika su vrlo ranjive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se ubacuju u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji je upisan u datoteku command.com (glavni tumač Windows sistema) i briše druge datoteke, a također inficira sve ostale verzije command.com koje pronađe.

Međutim, dok korisnik igra igru, program šalje kopiju sebe e-poštom svakom pretplatniku u adresaru tog korisnika. Svi pretplatnici dobiju igru poštom, što uzrokuje njenu dalju distribuciju.

Borba protiv virusa i trojanskih konja odvija se uz pomoć efikasnog antivirusnog softvera koji radi na nivou korisnika, a moguće i na nivou mreže. Antivirusni proizvodi otkrivaju većinu virusa i trojanskih konja i zaustavljaju njihovo širenje.

Dobivanje najnovijih informacija o virusima pomoći će vam da se efikasnije borite protiv njih. Kako se pojavljuju novi virusi i trojanski konji, preduzeća moraju instalirati nove verzije antivirusnih alata i aplikacija.

Prilikom pisanja ovog članka korišćeni su materijali koje je obezbedio Cisco Systems.

Dobro loše

Predavanje 33 Vrste i vrste mrežnih napada

Predavanje 33

Tema: Vrste i vrste mrežnih napada

Udaljeni mrežni napad je informacijski destruktivni efekat na distribuirani računarski sistem, koji se izvodi programski putem komunikacionih kanala.

Uvod

Za organizaciju komunikacije u heterogenom mrežnom okruženju, koristi se skup TCP/IP protokola koji osiguravaju kompatibilnost između računara različitih tipova. Ovaj skup protokola je stekao popularnost zbog svoje kompatibilnosti i omogućavanja pristupa resursima globalnog Interneta i postao je standard za umrežavanje. Međutim, sveprisutnost steka TCP/IP protokola također je otkrila njegove slabosti. Posebno zbog toga, distribuirani sistemi su podložni daljinskim napadima, jer njihove komponente obično koriste otvorene kanale za prenos podataka, a napadač može ne samo pasivno prisluškivati prenete informacije, već i modifikovati prenošeni saobraćaj.

Teškoća otkrivanja udaljenog napada i relativna lakoća implementacije (zbog redundantne funkcionalnosti savremenih sistema) stavlja ovu vrstu nezakonitih radnji na prvo mjesto po stepenu opasnosti i onemogućava pravovremeno reagiranje na prijetnju, kao rezultat čega napadač povećava šanse za uspješno sprovođenje napada.

Klasifikacija napada

Po prirodi uticaja

Pasivno

Aktivan

Pasivni uticaj na distribuirani računarski sistem (DCS) je neki uticaj koji ne utiče direktno na rad sistema, ali u isto vreme može da naruši njegovu bezbednosnu politiku. Nedostatak direktnog uticaja na rad RVS-a dovodi upravo do toga da je pasivni daljinski uticaj (RPI) teško detektovati. Mogući primjer tipičnog PUV-a u DCS-u je slušanje komunikacijskog kanala u mreži.

Aktivni uticaj na DCS - uticaj koji ima direktan uticaj na rad samog sistema (oštećenje funkcionalnosti, promena u DCS konfiguraciji, itd.), čime se krši bezbednosna politika usvojena u njemu. Gotovo sve vrste daljinskih napada su aktivni utjecaji. To je zbog činjenice da sama priroda štetnog djelovanja uključuje aktivni princip. Jasna razlika između aktivnog i pasivnog uticaja je osnovna mogućnost njegovog otkrivanja, budući da se kao rezultat njegovog sprovođenja dešavaju određene promene u sistemu. Kod pasivnog uticaja ne ostaju apsolutno nikakvi tragovi (zbog činjenice da napadač gleda tuđu poruku u sistemu, ništa se neće promeniti u istom trenutku).

Po svrsi uticaja

Kršenje funkcionisanja sistema (pristup sistemu)

Kršenje integriteta informacionih resursa (IR)

Kršenje IR povjerljivosti

Ova karakteristika, po kojoj se vrši klasifikacija, u suštini je direktna projekcija tri osnovne vrste prijetnji – uskraćivanje usluge, otkrivanje i kršenje integriteta.

Glavni cilj kojem se teži u gotovo svakom napadu je stjecanje neovlaštenog pristupa informacijama. Postoje dvije osnovne opcije za dobivanje informacija: izobličenje i presretanje. Opcija presretanja informacija znači dobijanje pristupa njima bez mogućnosti promjene. Presretanje informacija stoga dovodi do kršenja njihove povjerljivosti. Slušanje kanala na mreži je primjer presretanja informacija. U ovom slučaju postoji nelegitiman pristup informacijama bez moguće opcije njena zamena. Očigledno je i da se povreda povjerljivosti informacija odnosi na pasivne uticaje.

Sposobnost zamjene informacija treba shvatiti ili kao potpunu kontrolu nad protokom informacija između objekata sistema, ili kao sposobnost prenošenja različitih poruka u tuđe ime. Stoga je jasno da zamjena informacija dovodi do narušavanja njenog integriteta. Takav destruktivni uticaj informacija je tipičan primer aktivan uticaj. Primjer udaljenog napada osmišljenog da naruši integritet informacija je daljinski napad (RA) “False RVS object”.

Prema dostupnosti povratne informacije sa napadnutim objektom

Sa povratnim informacijama

Nema povratnih informacija (jednosmjerni napad)

Napadač napadnutom objektu šalje neke zahtjeve na koje očekuje da će dobiti odgovor. Posljedično, javlja se povratna informacija između napadača i napadnutog, omogućavajući prvom da adekvatno odgovori na sve vrste promjena u napadnutom objektu. Ovo je suština udaljenog napada, koji se izvodi u prisustvu povratnih informacija od napadačkog objekta. Ovakvi napadi su najtipičniji za RVS.

Napade otvorene petlje karakteriše činjenica da ne moraju da reaguju na promene u napadnutom objektu. Takvi napadi se obično izvode slanjem pojedinačnih zahtjeva napadnutom objektu. Napadaču nisu potrebni odgovori na ove zahtjeve. Takav UA se također može nazvati jednosmjernim UA. Primjer jednosmjernih napada je tipičan DoS napad.

Prema stanju početka udara

Daljinski uticaj, kao i svaki drugi, može početi da se odvija samo pod određenim uslovima. Postoje tri tipa takvih uslovnih napada u RVS:

Napad na zahtjev napadnutog objekta

Napad po nastanku očekivanog događaja na napadnuti objekat

Bezuslovni napad

Uticaj napadača će početi pod uslovom da potencijalna meta napada pošalje zahtjev određenog tipa. Takav napad se može nazvati napadom na zahtjev napadnutog objekta. Ovaj tip UA je najtipičniji za RVS. Primjer takvih zahtjeva na Internetu su DNS i ARP zahtjevi, au Novell NetWare - SAP zahtjev.

Napad na pojavu očekivanog događaja na napadnuti objekat. Napadač kontinuirano prati stanje OS-a udaljenog cilja napada i počinje da utiče kada se određeni događaj dogodi u ovom sistemu. Sam napadnuti objekat je inicijator napada. Primjer takvog događaja bi bio kada je sesija korisnika sa serverom prekinuta bez izdavanja naredbe LOGOUT u Novell NetWareu.

Bezuslovni napad se izvodi odmah i bez obzira na stanje operativnog sistema i napadnutog objekta. Dakle, napadač je inicijator napada u ovom slučaju.

Ako je normalan rad sistema poremećen, slijede drugi ciljevi i ne očekuje se da će napadač dobiti nezakonit pristup podacima. Njegov cilj je onemogućiti OS na napadnutom objektu i onemogućiti drugim sistemskim objektima pristup resursima ovog objekta. Primjer napada ovog tipa je DoS napad.

Po lokaciji predmeta napada u odnosu na napadnuti objekat

Intrasegmentalno

Intersegmentalni

Neke definicije:

Izvor napada (predmet napada) je program (moguće operater) koji vodi napad i ima direktan uticaj.

Host - računar koji je element mreže.

Ruter je uređaj koji usmjerava pakete na mreži.

Podmreža je grupa hostova koji su dio globalne mreže, a razlikuju se po tome što im ruter dodjeljuje isti broj podmreže. Takođe možemo reći da je podmreža logično povezivanje hostova preko rutera. Hostovi unutar iste podmreže mogu komunicirati direktno jedni s drugima bez korištenja rutera.

Mrežni segment je kombinacija hostova na fizičkom nivou.

Sa stanovišta udaljenog napada izuzetno je važna relativna lokacija subjekta i objekta napada, odnosno da li se nalaze u različitim ili identičnim segmentima. Tokom unutarsegmentnog napada, subjekt i cilj napada nalaze se u istom segmentu. U slučaju intersegmentnog napada, subjekt i cilj napada nalaze se u različitim segmentima mreže. Ova karakteristika klasifikacije omogućava procjenu takozvanog „stepena udaljenosti“ napada.

U nastavku će biti pokazano da je napad unutar segmenta mnogo lakše izvesti od napada između segmenata. Također napominjemo da međusegmentni daljinski napad predstavlja mnogo veću opasnost od intrasegmentnog. To je zbog činjenice da se u slučaju međusegmentnog napada meta i napadač mogu nalaziti na udaljenosti od nekoliko hiljada kilometara jedan od drugog, što može značajno otežati mjere za odbijanje napada.

Prema nivou ISO/OSI referentnog modela na kojem se vrši uticaj

Fizički

Kanal

Mreža

Transport

Sjednica

Predstavnik

Primijenjeno

Međunarodna organizacija za standardizaciju (ISO) usvojila je standard ISO 7498, koji opisuje interkonekciju otvorenih sistema (OSI), kojoj pripadaju i RBC. Svaki mrežni komunikacijski protokol, kao i svaki mrežni program, mogu se na ovaj ili onaj način projektovati na OSI referentni 7-slojni model. Ova projekcija na više nivoa omogućava opisivanje funkcija koje se koriste u mrežnom protokolu ili programu u smislu OSI modela. UA je mrežni program i logično ga je posmatrati sa stanovišta projekcije na ISO/OSI referentni model.

Kratki opis neki mrežni napadi

Fragmentacija podataka

Kada se IP paket podataka prenosi preko mreže, paket se može podijeliti na nekoliko fragmenata. Nakon toga, kada stigne na odredište, paket se rekonstruiše iz ovih fragmenata. Napadač može pokrenuti slanje velikog broja fragmenata, što dovodi do prelivanja softverskih bafera na strani primaoca i, u nekim slučajevima, do pada sistema.

Ping flooding napad

Ovaj napad zahtijeva od napadača da ima pristup brzim internet kanalima.

Program ping šalje ICMP paket tipa ECHO REQUEST, postavljajući vrijeme i njegov identifikator u njemu. Kernel prijemne mašine odgovara na takav zahtjev sa ICMP ECHO REPLY paketom. Nakon što ga primi, ping prikazuje brzinu paketa.

U standardnom režimu rada, paketi se šalju u redovnim intervalima, praktično bez opterećenja na mreži. Ali u "agresivnom" načinu rada, poplava ICMP paketa eho zahtjeva/odgovora može uzrokovati zagušenje na maloj liniji, sprječavajući je da prenese korisne informacije.

Nestandardni protokoli inkapsulirani u IP

IP paket sadrži polje koje specificira protokol enkapsuliranog paketa (TCP, UDP, ICMP). Napadači mogu koristiti nestandardnu vrijednost ovog polja za prijenos podataka koji neće biti zabilježeni standardnim alatima za kontrolu protoka informacija.

Štrumpf napad

Štrumpf napad uključuje slanje emitovanih ICMP zahtjeva na mrežu u ime računara žrtve.

Kao rezultat toga, računari koji su primili takve broadcast pakete odgovaraju računaru žrtve, što dovodi do značajnog smanjenja propusnosti komunikacionog kanala i, u nekim slučajevima, do potpune izolacije napadnute mreže. Štrumpf napad je izuzetno efikasan i široko rasprostranjen.

Protivljenje: da biste prepoznali ovaj napad, potrebno je analizirati opterećenje kanala i utvrditi razloge smanjenja propusnosti.

DNS lažni napad

Rezultat ovog napada je uvođenje prisilne korespondencije između IP adrese i imena domena u keš DNS servera. Kao rezultat uspješnog napada, svi korisnici DNS servera će dobiti netačne informacije o imena domena i IP adrese. Ovaj napad karakteriše veliki broj DNS paketa sa istim imenom domene. To je zbog potrebe za odabirom nekih parametara DNS razmjene.

Protivljenje: da bi se otkrio takav napad, potrebno je analizirati sadržaj DNS saobraćaja ili koristiti DNSSEC.

IP lažni napad

Veliki broj napada na Internetu povezan je sa lažiranjem izvorne IP adrese. Takvi napadi takođe uključuju lažiranje syslog-a, što uključuje slanje poruke računaru žrtve u ime drugog računara na internoj mreži. Budući da se syslog protokol koristi za održavanje sistemskih dnevnika, slanjem lažnih poruka na računar žrtve moguće je navesti informacije ili prikriti tragove neovlaštenog pristupa.

Protivmjere: otkrivanje napada vezanih za lažiranje IP adrese moguće je praćenjem prijema na jednom od interfejsa paketa sa izvornom adresom istog interfejsa ili praćenjem prijema na eksternom interfejsu paketa sa IP adresama interne mreže .

Nametanje paketa

Napadač na mrežu šalje pakete sa lažnom povratnom adresom. Ovim napadom, napadač može prebaciti veze uspostavljene između drugih računara na svoj računar. U tom slučaju, prava pristupa napadača postaju jednaka pravima korisnika čija je veza sa serverom prebačena na računar napadača.

Njuškanje - slušanje kanala

Moguće samo u segmentu lokalne mreže.

Gotovo sve mrežne kartice podržavaju mogućnost presretanja paketa koji se prenose preko zajedničkog lokalnog mrežnog kanala. U ovom slučaju, radna stanica može primati pakete adresirane na druge računare u istom segmentu mreže. Tako sva razmjena informacija u segmentu mreže postaje dostupna napadaču. Da bi se ovaj napad uspješno implementirao, računar napadača mora biti lociran u istom segmentu lokalne mreže kao i računar koji se napada.

Presretanje paketa na ruteru

Mrežni softver rutera ima pristup svim mrežnim paketima poslatim kroz ruter, omogućavajući presretanje paketa. Da bi izvršio ovaj napad, napadač mora imati privilegirani pristup barem jednom ruteru na mreži. Pošto se toliki broj paketa obično prenosi putem rutera, njihovo potpuno presretanje je gotovo nemoguće. Međutim, pojedinačni paketi mogu biti presretnuti i pohranjeni za kasniju analizu od strane napadača. Najefikasnije presretanje FTP paketa koji sadrže korisničke lozinke, kao i email.

Forsiranje lažne rute na hostu koristeći ICMP

Na internetu postoji poseban protokol ICMP (Internet Control Message Protocol), čija je jedna od funkcija obavještavanje domaćina o promjeni trenutnog rutera. Ova kontrolna poruka se zove preusmjeravanje. Moguće je poslati lažnu poruku preusmjeravanja sa bilo kojeg hosta u segmentu mreže u ime rutera napadnutom hostu. Kao rezultat toga, trenutna tablica rutiranja hosta se mijenja i, u budućnosti, sav mrežni promet ovog hosta će proći, na primjer, kroz host koji je poslao lažnu poruku za preusmjeravanje. Na ovaj način moguće je aktivno nametati lažnu rutu unutar jednog segmenta interneta.

Uz redovne podatke koji se šalju preko TCP veze, standard također predviđa prijenos hitnih (Out Of Band) podataka. Na nivou formata TCP paketa, ovo se izražava kao hitni pokazivač različit od nule. Većina računara sa instaliranim Windowsom ima NetBIOS mrežni protokol, koji za svoje potrebe koristi tri IP porta: 137, 138, 139. Ako se povežete na Windows mašinu preko porta 139 i tamo pošaljete nekoliko bajtova OutOfBand podataka, implementacija NetBIOS-a će ne znajući šta da radi sa ovim podacima, jednostavno visi ili ponovo pokreće mašinu. Za Windows 95, ovo obično izgleda kao plavi tekstualni ekran koji ukazuje na grešku u TCP/IP drajveru i nemogućnost rada sa mrežom dok se OS ne pokrene ponovo. NT 4.0 bez servisnih paketa se ponovo pokreće, NT 4.0 sa paketom ServicePack 2 pada u plavi ekran. Sudeći po informacijama sa mreže, i Windows NT 3.51 i Windows 3.11 za radne grupe su podložni takvom napadu.

Slanje podataka na port 139 dovodi do ponovnog pokretanja NT 4.0, ili „plavog ekrana smrti“ sa instaliranim servisnim paketom 2. Slično slanje podataka na 135 i neke druge portove dovodi do značajnog opterećenja procesa RPCSS.EXE. Na Windows NT WorkStation ovo dovodi do značajnog usporavanja; Windows NT Server se praktično zamrzava.

Pouzdano lažiranje hosta

Uspješna implementacija udaljenih napada ovog tipa omogućit će napadaču da provede sesiju sa serverom u ime pouzdanog hosta. (Pouzdani host - stanica koja je legalno povezana sa serverom). Implementacija ove vrste napada obično se sastoji od slanja razmjenskih paketa sa napadačeve stanice u ime pouzdane stanice pod njegovom kontrolom.

Tehnologije otkrivanja napada

Mrežne i informacione tehnologije se menjaju tako brzo da statički zaštitni mehanizmi, koji uključuju sisteme kontrole pristupa, zaštitne zidove i sisteme za autentifikaciju, u mnogim slučajevima ne mogu da obezbede efikasnu zaštitu. Stoga su potrebne dinamičke metode za brzo otkrivanje i sprječavanje kršenja sigurnosti. Jedna tehnologija koja može otkriti kršenja koja se ne mogu identificirati korištenjem tradicionalnih modela kontrole pristupa je tehnologija otkrivanja upada.

U suštini, proces otkrivanja napada je proces procene sumnjivih aktivnosti koje se dešavaju na korporativnoj mreži. Drugim riječima, otkrivanje upada je proces identifikacije i odgovora na sumnjivu aktivnost usmjerenu na računarske ili mrežne resurse.

Metode za analizu mrežnih informacija

Efikasnost sistema za otkrivanje napada u velikoj meri zavisi od metoda koje se koriste za analizu primljenih informacija. Prvi sistemi za otkrivanje upada, razvijeni ranih 1980-ih, koristili su statističke metode za otkrivanje napada. Trenutno je u statističku analizu dodat niz novih tehnika, počevši od ekspertnih sistema i fuzzy logike do upotrebe neuronskih mreža.

Statistička metoda

Glavne prednosti statističkog pristupa su upotreba već razvijenog i dokazanog aparata matematičke statistike i prilagođavanje ponašanju subjekta.

Prvo se određuju profili za sve subjekte analiziranog sistema. Svako odstupanje korištenog profila od referentnog smatra se neovlaštenom aktivnošću. Statističke metode su univerzalne jer analiza ne zahtijeva poznavanje mogućih napada i ranjivosti koje oni iskorištavaju. Međutim, kada se koriste ove tehnike, javljaju se problemi:

“statistički” sistemi nisu osjetljivi na redoslijed događaja; u nekim slučajevima, isti događaji, ovisno o redoslijedu kojim se javljaju, mogu karakterizirati abnormalnu ili normalnu aktivnost;

Teško je postaviti granične (granične) vrijednosti karakteristika koje prati sistem za otkrivanje upada kako bi se adekvatno identifikovala anomalna aktivnost;

“statistički” sistemi mogu biti “obučeni” od strane napadača tokom vremena tako da se akcije napada smatraju normalnim.

Također treba uzeti u obzir da statističke metode nisu primjenjive u slučajevima kada ne postoji obrazac tipičnog ponašanja za korisnika ili kada su neovlaštene radnje tipične za korisnika.

Ekspertni sistemi

Ekspertski sistemi se sastoje od skupa pravila koja obuhvataju znanje ljudskog stručnjaka. Upotreba ekspertskih sistema je uobičajena metoda otkrivanja napada u kojoj se informacije o napadu formulišu u obliku pravila. Ova pravila se mogu napisati, na primjer, kao niz radnji ili kao potpis. Kada se ispuni bilo koje od ovih pravila, donosi se odluka o prisutnosti neovlaštene aktivnosti. Važna prednost ovog pristupa je gotovo potpuno odsustvo lažnih alarma.

Baza podataka ekspertskog sistema treba da sadrži skripte za većinu trenutno poznatih napada. Da bi bili stalno ažurni, ekspertni sistemi zahtijevaju stalno ažuriranje baze podataka. Iako ekspertski sistemi nude dobru vidljivost podataka dnevnika, potrebna ažuriranja mogu se zanemariti ili ručno izvršiti od strane administratora. U najmanju ruku, ovo rezultira ekspertnim sistemom sa oslabljenim sposobnostima. U najgorem slučaju, nedostatak odgovarajućeg održavanja umanjuje sigurnost cijele mreže, dovodeći njene korisnike u zabludu o stvarnom nivou sigurnosti.

Glavni nedostatak je nemogućnost odbijanja nepoznatih napada. Štaviše, čak i mala promjena u već poznatom napadu može postati ozbiljna prepreka funkcionisanju sistema za otkrivanje napada.

Neuralne mreže

Većina modernih metoda otkrivanja napada koristi neki oblik kontrolisane analize prostora, bilo pristup baziran na pravilima ili statistički pristup. Kontrolirani prostor mogu biti zapisnici ili mrežni promet. Analiza se zasniva na skupu unapred definisanih pravila koja kreira administrator ili sam sistem za otkrivanje upada.

Bilo kakvo razdvajanje napada tokom vremena ili između više napadača teško je otkriti korištenjem ekspertnih sistema. Zbog velikog broja napada i hakera, čak i ad hoc, stalna ažuriranja baze podataka pravila ekspertskog sistema nikada neće garantovati tačnu identifikaciju čitavog spektra napada.

Upotreba neuronskih mreža je jedan od načina za prevazilaženje ovih problema ekspertnih sistema. Za razliku od ekspertnih sistema, koji korisniku mogu dati definitivan odgovor o usklađenosti karakteristika koje se razmatraju sa pravilima ugrađenim u bazu podataka, neuronska mreža analizira informacije i pruža mogućnost da se proceni da li su podaci u skladu sa karakteristikama koje su obučeni da prepoznaju. Dok stepen podudarnosti reprezentacije neuronske mreže može dostići 100%, pouzdanost izbora u potpunosti zavisi od kvaliteta sistema u analizi primera zadatka.

Prvo, neuronska mreža je obučena za ispravnu identifikaciju koristeći unaprijed odabrani uzorak primjera domena. Analizira se odziv neuronske mreže i sistem se prilagođava na način da se postignu zadovoljavajući rezultati. Pored početnog perioda obuke, neuronska mreža stječe iskustvo tokom vremena dok analizira podatke specifične za domen.

Važna prednost neuronskih mreža u otkrivanju zloupotrebe je njihova sposobnost da „nauče“ karakteristike namjernih napada i identifikuju elemente koji se razlikuju od onih koji su prethodno uočeni na mreži.

Svaka od opisanih metoda ima niz prednosti i mana, pa je sada gotovo teško pronaći sistem koji implementira samo jednu od opisanih metoda. U pravilu se ove metode koriste u kombinaciji.

Ulaznica 1. Osnovni koncepti i definicije informacione sigurnosti: napadi, ranjivosti, sigurnosne politike, sigurnosni mehanizmi i usluge. Klasifikacija napada. Mrežna sigurnost i sigurnosni modeli informacioni sistem

Ranjivost - slaba tačka u sistemu koja se može koristiti za izvršenje napad.

Rizik - vjerovatnoća da će određena napad vršit će se korištenjem specifičnog ranjivosti. Na kraju, svaka organizacija mora odlučiti koji je nivo za nju prihvatljiv. rizik. Ova odluka treba da se odrazi na bezbednosnu politiku koju je usvojila organizacija.

Sigurnosna politika — pravila, smjernice i prakse koje određuju kako se informaciona sredstva obrađuju, štite i distribuiraju unutar organizacije i između informacionih sistema; skup kriterijuma za obezbeđivanje sigurnosne službe.

Napad - svaka radnja koja narušava sigurnost informacionog sistema. Formalnije možemo to reći napad- je akcija ili niz međusobno povezanih radnji pomoću ranjivosti ovog informacionog sistema i dovodi do kršenja sigurnosne politike.

Sigurnosni mehanizam - softver i/ili hardver koji detektuje i/ili sprečava napad.

Služba obezbeđenja - usluga koja obezbjeđuje politiku definiranu sigurnost sistema i/ili prenesenih podataka, ili određuje implementaciju napada. Servis koristi jedan ili više sigurnosnih mehanizama.
^

Model mrežne sigurnosti Klasifikacija mrežnih napada

Sve napada mogu se podijeliti u dvije klase: pasivno I aktivan.

I. Pasivni napad

Ovo se zove pasivno napad , s kojim neprijatelja nema mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka u informativni kanal između pošiljaoca i primaoca. Svrha pasivni napad može postojati samo slušanje poslanih poruka i analiza saobraćaja.

Ovo se zove aktivno napad , s kojim neprijatelja ima mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka. Razlikuju se sljedeće vrste: aktivni napadi:

^ II. Aktivan napad

Uskraćivanje usluge - DoS napad (odbijanje usluge)

Uskraćivanje usluge remeti normalno funkcionisanje mrežnih usluga. Neprijatelj može presresti sve poruke poslane određenom primaocu. Još jedan primjer ovoga napada je stvaranje značajnog prometa, što rezultira time da mrežna usluga ne može obraditi zahtjeve legitimnih klijenata. Klasičan primjer je napada u TCP/IP mrežama je SYN napad u kojem napadač šalje pakete koji iniciraju uspostavljanje TCP veze, ali ne šalje pakete koji dovršavaju uspostavljanje ove veze. Kao rezultat toga, server može postati preopterećen i server se možda neće moći povezati s legitimnim korisnicima.

^ Model sigurnosti informacionog sistema

Postoje i druge situacije vezane za sigurnost koje se ne uklapaju u model mrežne sigurnosti opisan gore. Opšti obrazac ovih situacija može se ilustrirati na sljedeći način:

Ovaj model ilustruje koncept sigurnosti informacionog sistema, koji sprečava neželjeni pristup. Haker koji pokušava ilegalno prodrijeti u sisteme dostupne preko mreže može jednostavno uživati u hakiranju, ili možda pokušava oštetiti informacioni sistem i/ili u njega uvesti nešto za svoje potrebe. Na primjer, cilj hakera može biti da dobije brojeve kreditnih kartica pohranjenih u sistemu.

Druga vrsta neželjenog pristupa je postavljanje nečega na računarski sistem što utiče na aplikativne programe i softverske uslužne programe, kao što su uređivači, kompajleri i slično. Dakle, postoje dvije vrste napada:

Pristup informacijama u svrhu pribavljanja ili modifikacije podataka pohranjenih u sistemu.
^ Napad uslugama kako bi vas spriječili da ih koristite.

Primjeri su virusi i crvi napada. Takve napada može se izvesti pomoću disketa ili preko mreže.

^ Sigurnosne službe , koji sprečavaju neželjeni pristup, mogu se podijeliti u dvije kategorije:

Prva kategorija je definirana u smislu funkcije čuvara. Ove mehanizama uključuju procedure za prijavu, kao što su one zasnovane na lozinki, da ograničite pristup samo ovlaštenim korisnicima. Ove mehanizama također uključuju razne zaštitne zaslone (firewall) koji sprječavaju napada na različitim nivoima steka TCP/IP protokola, a posebno vam omogućavaju da spriječite prodor crva, virusa, kao i spriječite druge slične napada.
Drugu liniju odbrane čine različiti interni monitori koji kontrolišu pristup i analiziraju aktivnosti korisnika.

Jedan od glavnih koncepata pri osiguravanju sigurnosti informacionog sistema je koncept autorizacija - definiranje i dodjeljivanje prava pristupa određenim resursima i/ili objektima.

Sigurnost informacionog sistema treba da se zasniva na sledećim osnovnim principima:

Sigurnost informacionog sistema mora biti u skladu sa ulogom i ciljevima organizacije u kojoj ovaj sistem instaliran.
Osiguravanje sigurnosti informacija zahtijeva integriran i holistički pristup.
Sigurnost informacija treba da bude sastavni dio sistema upravljanja u datoj organizaciji.
Sigurnost informacija mora biti ekonomski opravdana.
Odgovornosti za sigurnost moraju biti jasno definirane.
Sigurnost informacionog sistema mora se periodično ponovo procjenjivati.
Velika važnost Da bi se osigurala sigurnost informacionog sistema, postoje društveni faktori, kao i administrativne, organizacione i fizičke mjere sigurnosti.

1. Presretanje paketa.

Sniffer paketa (od engleskog sniff - njuškanje) je aplikativni program koji koristi mrežni interfejs koji radi u promiskuitetnom režimu. U ovom režimu, mrežni adapter vam omogućava da primite sve pakete primljene preko fizičkih kanala, bez obzira na to kome su adresirani, i šalje ih aplikaciji na obradu. Trenutno se snifferi koriste u mrežama na potpuno legalnoj osnovi. Koriste se za dijagnostiku kvarova i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3, itd.), korištenje sniffera može otkriti korisne i ponekad osjetljive informacije (na primjer, korisnička imena i lozinke) .

Presretanje prijava i lozinki stvara veliku opasnost. Ako aplikacija radi u klijent-server modu, a podaci za autentifikaciju se prenose preko mreže u čitljivom tekstualnom formatu, tada se te informacije najvjerovatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač će dobiti pristup korisničkom resursu na nivou sistema i koristiti ga za kreiranje novog korisnika koji se u svakom trenutku može koristiti za pristup mreži i njenim resursima.

2. IP lažiranje.

IP lažiranje (od engleskog spoof - hoax) nastaje kada se napadač, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može postići na dva načina:

a) korišćenje IP adrese koja je unutar opsega ovlašćenih IP adresa;

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad, koji počinje sa tuđe adrese, skrivajući pravi identitet napadača.

Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između klijentske i serverske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja. Za dvosmjernu komunikaciju, napadač mora modificirati sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu.

Ako je napadač uspio promijeniti tablice rutiranja i usmjeriti mrežni promet na lažnu IP adresu, tada će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

3. Uskraćivanje usluge.

Uskraćivanje usluge (Denial of Service, skraćeno DoS) je bez sumnje najpoznatiji oblik mrežnih napada. Osim toga, od ovih vrsta napada najteže je stvoriti 100% zaštitu. Za organizaciju DoS-a potreban je minimum znanja i vještina. Ipak, jednostavnost implementacije i ogromna razmjera štete privlače napadače na DoS napade.

Ovaj napad se značajno razlikuje od drugih vrsta napada. Napadači nemaju namjeru da dobiju pristup mreži ili dobiju bilo kakve informacije iz te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem dozvoljenih ograničenja mreže, operativnog sistema ili aplikacije. U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uključivati preuzimanje svih veza dostupnih tim aplikacijama i njihovo zadržavanje zauzetim, sprečavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene Internet protokole kao što su TCP i ICMP.

Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa. Kada se napad ovog tipa izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (od engleskog distributed DoS, skraćeno DDoS).

4. Napadi lozinkom.

Napadači mogu provoditi napade lozinkom koristeći različite metode, kao što su napad grube sile, trojanski konj, lažiranje IP-a i njuškanje paketa. Unatoč činjenici da se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, napadači često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva jednostavno nabrajanje.

Za takav napad koristi se poseban program koji pokušava dobiti pristup javnom resursu (na primjer, serveru). Ako se kao rezultat toga, napadaču odobri pristup resursima, tada ga prima kao korisnik čija je lozinka odabrana. Ako određeni korisnik ima značajne privilegije pristupa, napadač može kreirati gateway za budući pristup koji će ostati na snazi čak i ako korisnik promijeni svoju lozinku.

5. Napadi čovjeka u sredini.

Za napad Man-in-the-Middle, napadaču je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja. Napadi se sprovode s ciljem krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i pribavljanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, izobličenja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

6. Napadi na nivou aplikacije.

Napadi na nivou aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti u serverskom softveru (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računaru u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegovani administrator sa pravima pristupa sistemu). Informacije o napadima na nivou aplikacije se široko objavljuju kako bi se administratorima pružila prilika da isprave problem koristeći korektivne module (zakrpe). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da se poboljšaju.

Glavni problem sa napadima na nivou aplikacije je taj što napadači često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, napadač koji iskorištava poznatu slabost web servera često će u TCP napadu koristiti port 80. Pošto web server korisnicima pruža web stranice, zaštitni zid mora omogućiti pristup ovom portu. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

7. Mrežna inteligencija.

Mrežna inteligencija se odnosi na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, napadač obično pokušava da dobije što više informacija o njoj. Mrežno izviđanje se vrši u obliku DNS upita, pingova i skeniranja portova. DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Ping adresa koje otkriva DNS omogućava vam da vidite koji hostovi zapravo rade u datom okruženju. Nakon što primi listu hostova, napadač koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobija informacije koje se mogu koristiti za hakiranje.

8. Kršenje povjerenja.

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zloupotrebe je situacija u perifernom dijelu korporativne mreže. Ovaj segment često sadrži DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, hakovanje bilo kojeg od njih dovodi do hakovanja svih ostalih, budući da ovi serveri vjeruju drugim sistemima na svojoj mreži. Drugi primjer je sistem instaliran na vanjskoj strani zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim na unutrašnjoj strani zaštitnog zida. Ako je vanjski sistem kompromitovan, napadač može koristiti odnose povjerenja da prodre u sistem zaštićen zaštitnim zidom.

9. Prosljeđivanje porta.

Prosljeđivanje portova je oblik zloupotrebe povjerenja u kojem se kompromitovani host koristi za propuštanje saobraćaja kroz zaštitni zid koji bi inače bio odbijen. Zamislimo zaštitni zid sa tri interfejsa, od kojih je svaki povezan sa određenim hostom. Eksterni host se može povezati na dijeljeni host (DMZ), ali ne i na onaj koji je instaliran na unutarnjoj strani zaštitnog zida. Dijeljeni host se može povezati i na interni i na eksterni host. Ako napadač preuzme zajednički host, može na njega instalirati softver koji preusmerava saobraćaj sa eksternog hosta direktno na interni. Iako ovo ne krši nijedno pravilo na ekranu, vanjski host dobiva direktan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može pružiti takav pristup je netcat.

10. Neovlašteni pristup.

Neovlašteni pristup se ne može identificirati kao zasebna vrsta napada, budući da se većina mrežnih napada provodi upravo radi dobijanja neovlaštenog pristupa. Da bi pogodio Telnet login, napadač mora prvo dobiti Telnet nagoveštaj na svom sistemu. Nakon povezivanja na Telnet port, na ekranu se pojavljuje poruka “potrebna je autorizacija za korištenje ovog resursa”. Ako napadač nastavi pokušavati pristupiti nakon ovoga, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

11. Virusi i aplikacije trojanskog konja

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna aplikacija, ali u stvari igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda kao jednostavna igra za radnu stanicu korisnika. Međutim, dok korisnik igra igru, program šalje kopiju sebe e-poštom svakom pretplatniku u adresaru tog korisnika. Svi pretplatnici dobiju igru poštom, što uzrokuje njenu dalju distribuciju.

Klasa mrežnih napada uključuje napade koji uzrokuju sumnjivo, anomalno ponašanje mrežnog prometa na korporativnoj mreži. To su takozvane mrežne anomalije. Mrežne anomalije se također mogu klasificirati. Mogu se podijeliti u dvije glavne grupe: hardverska i softverska odstupanja i sigurnosni problemi (slika 1.2.1.)

1. Softverska i hardverska odstupanja.

Greške u softveru komponenti informacionog sistema mogu dovesti do prelaska u nenormalan režim sa naknadnim prekidom pružanja usluga.

Greške u konfiguraciji prevode funkcionalnost komponente informacionog sistema u neusklađenosti sa standardnim projektnim parametrima, što narušava ukupne performanse.

Povrede performansi podrazumevaju odstupanje parametara informacionog sistema izvan obračunskih vrednosti, što je praćeno kršenjem pružanja usluga.

Kvarovi hardvera mogu dovesti kako do potpunog kvara pojedinih komponenti informacionog sistema, tako i do degradirajućeg uticaja posebnog podsistema na čitav kompleks.

2. Kršenje sigurnosti.

Mrežno skeniranje se vrši radi analize topologije mreže i otkrivanja usluga dostupnih za napad. Tokom procesa skeniranja, pokušava se povezati na mrežne usluge pristupanjem određenom portu. U slučaju otvorenog skeniranja, skener izvodi trosmjernu proceduru rukovanja, a u slučaju zatvorenog (stealth) skeniranja ne dovršava vezu. Budući da prilikom skeniranja jednog hosta dolazi do nabrajanja usluga (portova), ovu anomaliju karakteriziraju pokušaji pristupa sa jedne IP adrese skenera određenoj IP adresi na više portova. Međutim, najčešće se skeniraju čitave podmreže, što se izražava u prisustvu u napadnutoj mreži velikog broja paketa od jedne IP adrese skenera do više IP adresa podmreže koja se ispituje, ponekad čak i metodom sekvencijalne pretrage. Najpoznatiji mrežni skeneri su: nmap, ISS, satan, strobe, xscan i drugi.

Analizatori saobraćaja ili snifferi dizajnirani su za presretanje i analizu mrežnog prometa. U najjednostavnijem slučaju, to uključuje prebacivanje mrežnog adaptera hardverskog kompleksa u režim slušanja i tokovi podataka u segmentu na koji je povezan postaju dostupni za dalje proučavanje. Budući da mnogi aplikativni programi koriste protokole koji prenose informacije u jasnom, nešifrovanom obliku, rad njuškača dramatično smanjuje nivo sigurnosti. Imajte na umu da njuškari ne uzrokuju izražene anomalije u radu mreže. Najpoznatiji snifferi su: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

U računarskoj bezbednosti, termin ranjivost se koristi za označavanje komponente informacionog sistema koja je slabo zaštićena od neovlašćenog uticaja. Ranjivost može biti rezultat grešaka u dizajnu, programiranju ili konfiguraciji. Ranjivost može postojati samo teoretski ili imati eksploatatorsku softversku implementaciju - eksploataciju. U mrežnom aspektu, informacioni resursi kao npr OS i softverske usluge.

Aktivnost virusne mreže rezultat je pokušaja širenja kompjuterskih virusa i crva korištenjem mrežnih resursa. Najčešće, kompjuterski virus iskorištava jednu ranjivost u servisu mrežnih aplikacija, pa se virusni promet karakterizira prisustvom velikog broja poziva s jedne zaražene IP adrese na više IP adresa na određenom portu koji odgovara potencijalno ranjivoj usluzi.

Tabela 9.1.

Naziv protokola	Nivo stek protokola	Naziv (karakteristika) ranjivosti	Sadržaj kršenja sigurnost informacija
FTP (File Transfer Protocol) – protokol za prijenos datoteka preko mreže		Provjera autentičnosti zasnovana otvoreni tekst(lozinke se šalju nešifrirane) Zadani pristup Dostupnost dva otvorena porta	Prilika presretanje podataka
telnet - kontrolni protokol daljinski terminal	Prijava, predstavnik, sjednica	Provjera autentičnosti zasnovana otvoreni tekst(lozinke se šalju nešifrirane)	Prilika presretanje podataka račun(registrovana korisnička imena, lozinke). Potvrda daljinski pristup domaćinima
UDP- protokol za prenos podataka bez veze	Transport	Nema mehanizama za sprečavanje preopterećenja bafera	Mogućnost implementacije UDP oluje. Kao rezultat razmjene paketa, dolazi do značajnog smanjenja performansi servera
ARP – IP adresa prema protokolu fizičke adrese	Mreža	Provjera autentičnosti zasnovana otvoreni tekst(informacije se šalju nešifrirane)	Mogućnost presretanja korisničkog prometa od strane napadača
RIP – Routing Information Protocol	Transport	Nedostatak autentifikacije kontrolnih poruka promjene rute	Mogućnost preusmjeravanja prometa preko napadačevog hosta
TCP kontrolni protokol transfer	Transport	Nedostatak mehanizma za provjeru ispravnosti popunjavanja zaglavlja paketnih usluga	Značajno smanjenje brzine zamjene i ravnomjerno potpuni prekid proizvoljne veze preko TCP protokola
DNS – protokol za uspostavljanje korespondencije između mnemoničkih imena i mrežnih adresa	Prijava, predstavnik, sjednica	Nedostatak sredstava za provjeru autentičnosti primljenih podataka iz izvora	Ometanje odgovora DNS servera
IGMP – Routing Message Protocol	Mreža	Nedostatak autentifikacije poruka o promjeni parametara rute	Win 9x/NT/2000 sistemi su zamrznuti
SMTP – protokol za pružanje usluge dostave e-mail poruka	Prijava, predstavnik, sjednica		Mogućnost falsifikovanja email poruka kao i adresa pošiljalac poruke
SNMP kontrolni protokol ruteri u mrežama	Prijava, predstavnik, sjednica	Nema podrške za autentifikaciju zaglavlja poruke	Mogućnost preopterećenja mrežnog propusnog opsega

Prijetnje koje se provode preko mreže klasificirane su prema sljedećim glavnim karakteristikama:

prirodu pretnje.
Pasivna - prijetnja koja ne utiče na rad informacionog sistema, ali može narušiti pravila pristupa zaštićenim informacijama. Primjer: korištenje njuškala za "slušanje" mreže. Aktivan – pretnja koja utiče na komponente informacionog sistema, čija implementacija ima direktan uticaj na rad sistema. Primjer: DDOS napad u obliku oluje TCP zahtjeva.
cilj pretnje(odnosno, povjerljivost, dostupnost, integritet informacija).
stanje početka napada:
- na zahtjev napadnutih. Odnosno, napadač očekuje prijenos zahtjeva određene vrste, što će biti uslov za početak napada.
- po nastanku očekivanog događaja na napadnutom objektu.
- bezuslovni uticaj - napadač ne čeka ništa, odnosno prijetnja se implementira odmah i bez obzira na stanje napadnutog objekta.
dostupnost povratnih informacija sa napadnutim objektom:
- uz povratnu informaciju, odnosno napadač treba da dobije odgovor na neke zahtjeve. Dakle, postoji povratna sprega između mete i napadača, omogućavajući napadaču da prati stanje napadnutog objekta i adekvatno odgovori na njegove promjene.
- bez povratne informacije - prema tome, nema povratne informacije i nema potrebe da napadač reaguje na promjene u napadnutom objektu.
lokacija uljeza u odnosu na napadnuti informacioni sistem: intra-segment i inter-segment. Mrežni segment je fizička asocijacija domaćina, hardvera i drugih mrežnih komponenti koje imaju mrežnu adresu. Na primjer, jedan segment čine kompjuteri povezani na zajedničku magistralu zasnovanu na Token Ringu.
ISO/OSI sloj referentnog modela na kojem se prijetnja implementira: fizički, kanal, mreža, transport, sesija, predstavnik, aplikacija.

Pogledajmo trenutno najčešće napade na mreže zasnovane na stek protokola TCP/IP.

Analiza mrežnog saobraćaja. Ovaj napad se provodi pomoću posebnog programa koji se zove sniffer. Sniffer je aplikativni program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada, takozvanom "promiskuitetnom" načinu u kojem mrežna kartica omogućava prihvaćanje svih paketa, bez obzira na to kome su upućeni. U normalnom stanju, filtriranje paketa sloja veze se koristi na Ethernet sučelju i ako MAC adresa u odredišnom zaglavlju primljenog paketa ne odgovara MAC adresi trenutnog mrežni interfejs i nije emitiranje, paket se odbacuje. U "promiskuitetnom" načinu, filtriranje po mrežni interfejs je onemogućen i svi paketi, uključujući i one koji nisu namijenjeni trenutnom čvoru, su dozvoljeni u sistem. Treba napomenuti da se mnogi takvi programi koriste u pravne svrhe, na primjer, za dijagnosticiranje kvarova ili analizu prometa. Međutim, tabela koju smo pregledali iznad navodi protokole kojima se šalju informacije, uključujući lozinke otvorena forma– FTP, SMTP, POP3, itd. Tako pomoću njuškala možete presresti svoje korisničko ime i lozinku i dobiti neovlašteni pristup povjerljivim informacijama. Štaviše, mnogi korisnici koriste iste lozinke za pristup mnogim online uslugama. Odnosno, ako postoji slabost na jednom mjestu u mreži u vidu slabe autentifikacije, cijela mreža može patiti. Napadači su svjesni ljudskih slabosti i naširoko koriste metode socijalnog inženjeringa.
Zaštita od ove vrste napada može uključivati sljedeće:
- Jaka autentifikacija npr. korištenjem jednokratne lozinke(jednokratna lozinka). Ideja je da se lozinka može koristiti jednom, pa čak i ako je napadač presretne pomoću njuškala, ona nema vrijednost. Naravno, ovaj zaštitni mehanizam štiti samo od presretanja lozinki, a beskorisan je u slučaju presretanja drugih informacija, na primjer, e-pošte.
- Anti-sniffers su hardver ili softver koji može otkriti rad njuškala u segmentu mreže. U pravilu provjeravaju opterećenje na mrežnim čvorovima kako bi utvrdili "višak" opterećenja.
- Komutirana infrastruktura. Jasno je da je analiza mrežnog saobraćaja moguća samo unutar jednog segmenta mreže. Ako je mreža izgrađena na uređajima koji je dijele na više segmenata (prekidači i ruteri), tada je napad moguć samo u onim dijelovima mreže koji pripadaju jednom od portova tih uređaja. Ovo ne rješava problem njuškanja, ali smanjuje granice koje napadač može "slušati".
- Kriptografske metode. Najpouzdaniji način da se nosite sa radom njuškala. Informacije koje se mogu dobiti presretnutim su šifrirane i stoga nemaju koristi. Najčešće korišteni su IPSec, SSL i SSH.
Mrežno skeniranje.Svrha mrežnog skeniranja je da se identifikuju servisi koji rade na mreži, otvoreni portovi, aktivni mrežne usluge, korišteni protokoli itd., odnosno prikupljanje informacija o mreži. Najčešće korištene metode za mrežno skeniranje su:
- DNS upiti pomažu napadaču da sazna vlasnika domene, adresno područje,
- ping testiranje – identifikuje radne hostove na osnovu prethodno dobijenih DNS adresa;
- skeniranje portova - sastavlja se kompletna lista usluga koje podržavaju ovi hostovi, otvoreni portovi, aplikacije itd.
Dobra i najčešća protumjera je korištenje IDS-a, koji uspješno pronalazi znakove skeniranja mreže i o tome obavještava administratora. Nemoguće je potpuno se riješiti ove prijetnje, jer ako, na primjer, onemogućite ICMP echo i echo reply na svom ruteru, možete se riješiti prijetnje pingom, ali u isto vrijeme izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži .
Password Reveal.Glavni cilj ovog napada je sticanje neovlaštenog pristupa zaštićenim resursima prevazilaženjem zaštite lozinkom. Za dobijanje lozinke napadač može koristiti više metoda - običnu silu, grubu silu iz rječnika, njuškanje, itd. Najčešća je jednostavna brute force pretraga svih mogućih vrijednosti lozinke. Za zaštitu od jednostavne grube sile potrebno je koristiti jake lozinke koje nije lako pogoditi: dugačke 6-8 znakova, koristiti velika i mala slova, koristiti posebne znakove (@, #, $, itd.).
Drugi problem informacijske sigurnosti je taj što većina ljudi koristi iste lozinke za sve usluge, aplikacije, stranice itd. Štoviše, ranjivost lozinke ovisi o najslabijem području njene upotrebe.

Ove vrste napada mogu se izbjeći korištenjem jednokratnih lozinki, o kojima smo ranije govorili, ili kriptografskom autentifikacijom.
IP lažiranje ili zamjena pouzdanog mrežnog objekta.Pouzdano u ovom slučaju znači mrežni objekat (računar, ruter, zaštitni zid, itd.) legalno povezan sa serverom. Prijetnja se sastoji od napadača koji se oponaša kao pouzdani mrežni objekt. Ovo se može uraditi na dva načina. Prvo, koristite IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima. Ova vrsta napada često je početna tačka za druge napade.
Obično je lažiranje pouzdanog mrežnog entiteta ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između mrežnih entiteta. Za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu, što je također moguće. Da biste ublažili prijetnju (ali ne i eliminirali), možete koristiti sljedeće:
- kontrole pristupa. Možete konfigurirati kontrolu pristupa da odbije svaki promet koji dolazi iz vanjske mreže s izvornom adresom unutar mreže. Ova metoda je učinkovita ako su ovlaštene samo interne adrese i ne radi ako postoje ovlaštene eksterne adrese.
- RFC 2827 filtriranje – ovaj tip filtriranja vam omogućava da zaustavite pokušaje korisnika vaše mreže da lažiraju druge mreže. Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije. Često ovu vrstu filtriranja obavlja provajder. Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbija. Na primer, ako ISP obezbedi vezu na IP adresu 15.1.1.0/24, može da konfiguriše filter tako da je dozvoljen samo saobraćaj koji potiče od 15.1.1.0/24 sa tog interfejsa na ruter ISP-a. Imajte na umu da dok svi provajderi ne implementiraju ovu vrstu filtriranja, njegova učinkovitost će biti mnogo niža od moguće.
- Implementacija dodatnih metoda autentifikacije. IP lažiranje je moguće samo uz IP baziranu autentifikaciju. Ako uvedete neke dodatne mjere autentifikacije, na primjer, kriptografske, napad postaje beskoristan.
Uskraćivanje usluge (DoS)- napad na računarski sistem sa ciljem njegovog dovođenja do kvara, odnosno stvaranja uslova pod kojima legitimni korisnici sistema ne mogu pristupiti resursima koje pruža sistem ili je taj pristup otežan.
DoS napad je najčešći i najpoznatiji napad u posljednje vrijeme, prvenstveno zbog lakoće implementacije. Organizovanje DOS napada zahteva minimum znanja i veština i zasniva se na nedostacima mrežnog softvera i mrežnih protokola. Ako se napad izvodi za set mrežni uređaji, govore o distribuiranom DoS napadu (DDoS - distribuirani DoS).

Danas se najčešće koristi sljedećih pet vrsta DoS napada za koje postoji velika količina softvera i od kojih se najteže zaštititi:
- Štrumpf- ICMP ping zahtjevi. Kada se ping paket (ICMP ECHO poruka) pošalje na adresu emitiranja (na primjer, 10.255.255.255), isporučuje se na svaku mašinu u toj mreži. Princip napada je da se pošalje ICMP ECHO REQUEST paket sa izvornom adresom napadnutog hosta. Napadač šalje konstantan tok ping paketa na adresu mrežnog emitiranja. Sve mašine, po prijemu zahteva, odgovaraju izvoru sa ICMP ECHO REPLY paketom. Shodno tome, veličina protoka paketa odgovora se povećava proporcionalno broju hostova nekoliko puta. Kao rezultat toga, cijela mreža je podložna uskraćivanju usluge zbog zagušenja.
- ICMP poplava- napad sličan Štrumpfu, ali bez pojačanja koje stvaraju zahtjevi na usmjerenu adresu emitiranja.
- UDP poplava- slanje više UDP (User Datagram Protocol) paketa na adresu napadnutog čvora.
- TCP poplava- slanje više TCP paketa na adresu napadnutog čvora.
- TCP SYN poplava- prilikom izvođenja ove vrste napada izdaje se veliki broj zahtjeva za inicijalizaciju TCP veza sa napadnutim čvorom, koji kao rezultat mora potrošiti sve svoje resurse na praćenje ovih djelimično otvorenih veza.
Ako koristite web server ili aplikaciju FTP servera, DoS napad uzrokuje da sve veze dostupne tim aplikacijama budu zauzete i korisnici im ne mogu pristupiti. Neki napadi mogu srušiti cijelu mrežu tako što će je preplaviti nepotrebnim paketima. Za suzbijanje ovakvih napada neophodna je uključenost provajdera, jer ako ne zaustavi neželjeni promet na ulazu u mrežu, napad neće biti zaustavljen jer će propusni opseg biti zauzet.

Za implementaciju DoS napada najčešće se koriste sljedeći programi:
- Trinoo- je prilično primitivan program, koji je istorijski postao prvi koji je organizovao DoS napade jednog tipa - UDP flood. Programi iz porodice "trinoo" se lako otkrivaju standardnim sigurnosnim alatima i ne predstavljaju prijetnju onima koji bar malo brinu o svojoj sigurnosti.
- TFN i TFN2K- ozbiljnije oružje. Omogućava vam da istovremeno organizirate nekoliko vrsta napada - Štrumpf, UDP flood, ICMP flood i TCP SYN flood. Korištenje ovih programa zahtijeva od napadača da bude mnogo vještiji.
- Najnoviji alat za organizovanje DoS napada - Stacheldracht("bodljikava žica"). Ovaj paket vam omogućava da organizujete najviše Razne vrste napadi i lavine ping zahtjeva. Osim toga, razmjena podataka između kontrolora i agenata je šifrirana, a funkcija auto-modifikacije ugrađena je u sam softver. Šifrovanje veoma otežava otkrivanje napadača.
Da biste ublažili prijetnju, možete koristiti sljedeće:
- Funkcije protiv lažiranja – Ispravno konfigurisanje funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. Ove karakteristike bi trebale, u najmanju ruku, uključiti filtriranje RFC 2827. Ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će izvršiti napad.
- Anti-DoS karakteristike - Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove karakteristike često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
- Ograničavanje brzine saobraćaja – organizacija može zatražiti od ISP-a da ograniči količinu saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz vašu mrežu. Čest primjer je ograničavanje obima ICMP prometa, koji se koristi samo u dijagnostičke svrhe. DoS napadi često koriste ICMP.
Postoji nekoliko vrsta prijetnji ove vrste:
- Skriveno uskraćivanje usluge, kada se dio mrežnih resursa koristi za obradu paketa koje je prenio napadač, smanjujući kapacitet kanala, ometajući vrijeme obrade zahtjeva i ometajući rad mrežnih uređaja. Primjer: usmjerena oluja ICMP eho zahtjeva ili oluja zahtjeva TCP veze.
- Očigledno uskraćivanje usluge uzrokovano iscrpljivanjem mrežnih resursa kao rezultat obrade paketa koje šalju napadači. Istovremeno, legitimni korisnički zahtjevi se ne mogu obraditi zbog činjenice da je cijeli propusni opseg kanala zauzet, baferi su puni, prostor na disku je pun itd. Primjer: usmjerena oluja (SYN-poplava).
- Eksplicitno uskraćivanje usluge uzrokovano kršenjem logičke povezanosti između tehnička sredstva mreže kada napadač prenosi kontrolne poruke u ime mrežnih uređaja. U tom slučaju se mijenjaju podaci o usmjeravanju i adresi. Primjer: ICMP Redirect Host ili DNS poplava.
- Eksplicitno uskraćivanje usluge uzrokovano napadačem koji prenosi pakete sa nestandardnim atributima (na primjer, UDP-bomba) ili čija dužina prelazi maksimum (Ping Death).
DoS napadi imaju za cilj ometanje dostupnosti informacija i ne krše integritet i povjerljivost.
Napadi na nivou aplikacije. Ova vrsta napada uključuje iskorištavanje "praznina" na serveru softver(HTML, sendmail, FTP). Koristeći ove ranjivosti, napadač dobija pristup računaru u ime korisnika aplikacije. Napadi na sloju aplikacije često koriste portove koji mogu "proći" kroz zaštitni zid.
Glavni problem kod napada na sloju aplikacije je taj što oni često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji napada Web server može koristiti TCP port 80. Da bi Web server služio stranice korisnicima, port 80 na zaštitnom zidu mora biti otvoren. Sa stanovišta zaštitnog zida, napad se tretira kao standardni promet na portu 80.

Nemoguće je potpuno eliminisati napade na nivou aplikacije, jer se programi sa novim ranjivostima redovno pojavljuju. Najvažnija stvar ovdje je dobra sistemska administracija. Evo nekoliko mjera koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:
- čitanje dnevnika (sistem i mreža);
- praćenje ranjivosti u novom softveru pomoću specijalizovanih sajtova, na primer, http://www.cert.com.
- korišćenje IDS-a.

Iz same prirode mrežnog napada, jasno je da njegovu pojavu ne kontrolira svaki određeni mrežni čvor. Nismo uzeli u obzir sve moguće napade na mrežu, u praksi ih je mnogo više. Međutim, čini se da nije moguće zaštititi se od svih vrsta napada. Najbolji pristup zaštiti perimetra mreže je uklanjanje ranjivosti koje se koriste u većini cyber kriminalnih napada. Liste takvih ranjivosti objavljuju se na mnogim sajtovima koji prikupljaju takvu statistiku, na primer, sajt Instituta SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Običan napadač ne traži nikakve originalne metode napada, već skenira mrežu za poznatu ranjivost i iskorištava je.