Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
УМК_Киоки.doc
Скачиваний:
4
Добавлен:
01.05.2025
Размер:
2.08 Mб
Скачать

2.2.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребле-ния доверием, когда взломанный хост используется для передачи через межсе-тевой экран трафика, который в противном случае был бы обязательно отбра-кован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней сто-роны межсетевого экрана. Хост общего доступа может подключаться и к внут-реннему и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадреса-ции получает прямой доступ к защищенному хосту.

Основным способом борьбы с переадресацией портов является использо-вание надежных моделей доверия (см. предыдущий раздел). Кроме того, поме-шать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

2.2.10. Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом ата-ки. Большинство сетевых атак проводятся ради получения несанкциониро-ванного доступа.

Чтобы подобрать логин Тelnet, хакер должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляет-ся сообщение «authorization required to use this resource» (для пользования этим ресурсом нужна авторизация

2.2.11. Борьба с вирусами

Борьба с вирусами и «троянскими конями» ведется с помощью специального антивирусного программного обеспечения, работающего на пользова-тельском уровне и, возможно, на уровне сети. Антивирусные средства обнару-живают большинство вирусов и «троянских коней» и пресекают их распро-странение. Получение самой свежей информации о вирусах поможет эффек-тивнее бороться с ними. По мере появления новых вирусов и «троянских ко-ней» предприятие должно устанавливать новые версии антивирусных средств и приложений.

2.3. Протоколы безопасности

Помимо специальных программ, направленных на устранение угроз коммерческим информационным системам (будут рассмотрены ниже), разработан комплекс протоколов, ориентированных на использование в рамках семиуровневой модели взаимодействия IP - систем, обеспечивающих функции защиты электронных коммуникаций.

В спецификациях Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Поэтому они стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу.

  • Протокол PPP CHAP;

  • Протокол SSL;

  • Протокол SSH;

  • Протокол HTTPS;

  • Протокол IPsec

2.3.1. Протокол ppp chap

Протокол PPP CHAP направлен на решение задач аутентификации и используется для периодической аутентификации пользователя путем согласования по трем параметрам. Аутентификация происходит в момент установления связи, но может повторяться и после ее установления. Маршрутизатор сети в проводит аутентификацию сервера сетевого доступа (NAS) или «аутентификатора» CHAP требуя от операторов обмена «текстовым секретом». Этот секрет никогда не передается по каналу связи. По завершении этапа установления связи аутентификатор передает вызывающей машине запрос, который состоит из аутентификатора (ID), случайного числа и имени центрального компьютера (для местного устройства) или имени пользователя (для удаленного устройства).

Вызывающая машина проводит вычисления с помощью односторонней хэш-функции. Аутентификатор, случайное число и общий «текстовый секрет» один за другим подаются на вход хэш-функции. После этого вызывающая машина отправляет серверу ответ, который состоит из хэша и имени центрального компьютера или имени пользователя удаленного устройства. По получении ответа аутентификатор проверяет проставленное в ответе имя и выполняет те же вычисления. Затем результат этих вычислений сравнивается с величиной, проставленной в ответе. Если эти величины совпадают, результат аутентификации считается положительным, система выдает соответствующее уведомление и устанавливается связь.

Секретные пароли на местном и удаленном устройстве должны быть идентичны. Поскольку «текстовый секрет» никогда не передается по каналам связи, никто не может подслушать его с помощью каких-либо устройств и ис-пользовать для нелегального входа в систему. Пока сервер не получит адекват-ный ответ, удаленное устройство не сможет подключиться к местному устрой-ству.

CHAP обеспечивает защиту от использования чужих паролей за счет по-шаговых изменений аутентификатора и применения переменной величины за-проса. Повторяющиеся запросы предназначены для ограничения времени, в те-чение которого система теоретически остается подверженной любой отдельной хакерской атаке. Частоту и количество неудачных попыток входа в систему контролирует аутентификатор.

Обычно в качестве односторонней хэш-функции CHAP используется криптографической защитой MD5, а общий секрет хранится в текстовой форме. У компании Microsoft есть свой вариант протокола CHAP (MS-CHAP), где пароль (на вызывающей машине и на аутентификаторе) хранится в зашифрованном виде. Это дает протоколу MS-CHAP некоторое преимущество: в отличие от стандартного протокола CHAP, он может пользоваться широкодоступными базами данных постоянно зашифрованных паролей.