- •Содержание
- •Глава 1. Постановка проблемы защиты информации 4
- •Глава 2. Исследование способов противодействия сетевым атакам 13
- •Глава 3. Разработка и формирование защищённой сети 19
- •Введение
- •Глава 1. Постановка проблемы защиты информации
- •1.1 Выявление структуры и основных свойств незащищённой сети
- •1.2 Выявление и анализ основных угроз безопасности данной системы
- •1.3 Основные компоненты системы защиты
- •Глава 2. Исследование способов противодействия сетевым атакам
- •2.1 Снижение угрозы сниффинга пакетов
- •2.2 Противодействие dDoS-атакам
- •2.3 Противодействие атаке arp-spoofing
- •2.4 Противодействие атакам на уровне приложений
- •2.5 Противодействие сетевой разведке
- •Глава 3. Разработка и формирование защищённой сети
- •3.1 Формирование структуры защищённой сети с использованием технологии "Открытый Интернет"
- •3.1.1 Построение защищённой сети с использованием Outpost Firewall Pro
- •3.1.2 Построение защищённой сети с использованием технологии ViPNet [custom]
- •Заключение
- •Список используемой литературы
1.2 Выявление и анализ основных угроз безопасности данной системы
По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками - как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.
По намеренности угрозы бывают преднамеренными и непреднамеренными. Устранить от преднамеренные угрозы сложнее, так как вредоносное ПО или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.
По цели можно выделить угрозы, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы ПО, контроль над работой ПО и прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.
Ниже будут перечислены и раскрыты механизмы основных сетевых атак, с которыми может столкнуться наша система.
Перехват пакетов в сети (сниффинг)
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определённый домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват имён и паролей создаёт большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют единый пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме "клиент-сервер", а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно представляют себе, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и потому им часто удаётся, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создаёт нового пользователя, которого можно в любой момент использовать для доступа в Сеть и к её ресурсам.
DDoS-атаки
DoS-атака (от англ. Denial of Service, отказ в обслуживании) - атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ "вражеской" системы может быть как самоцелью (например, сделать недоступным сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т.д.).
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа "отказ в обслуживании"). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном Интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.
Существуют различные причины, по которым может возникнуть DoS-условие:
Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.
Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объема оперативной памяти (исчерпанию памяти).
Флуд (англ. flood) - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы - процессора, памяти либо каналов связи.
Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.
Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).
ARP spoofing
ARP spoofing (АРП-спуфинг) - это атака, используемая для прослушивания сети, построенной на свитчах. Она состоит в том, что злоумышленник посылает ложные ARP-пакеты с целью убедить компьютер жертвы в том, что прослушивающий компьютер и есть конечный адресат. Далее пакеты логгируются и пересылаются реальному получателю, mac-адрес отправителя в них подменяется, чтобы ответные пакеты тоже шли через прослушивающий компьютер. Прослушивающий компьютер становится "шлюзом" для трафика жертвы, и злоумышленники получают возможность прослушивать трафик, например общение по ICQ, почту жертвы и др. При этом, так как трафик жертвы совершает "петли" в сети, обязательно проходя прослушивающий компьютер, соединение прослушивающего компьютера с сетью является узким местом. При попытке прослушать трафик нескольких активно общающихся компьютеров и соответственно возникающим при этом переполнением APR-таблиц возможна перегрузка, и, как следствие, падение сети.
Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространённый из них - использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.
Главная проблема при атаках на уровне приложений заключается в том, что хакеры часто пользуются портами, которым разрешён проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.
Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.
Переадресация портов
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключён определённый хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищённому хосту. Примером приложения, которое может предоставить такой доступ, является netcat.