- •Содержание
- •Глава 1. Постановка проблемы защиты информации 4
- •Глава 2. Исследование способов противодействия сетевым атакам 13
- •Глава 3. Разработка и формирование защищённой сети 19
- •Введение
- •Глава 1. Постановка проблемы защиты информации
- •1.1 Выявление структуры и основных свойств незащищённой сети
- •1.2 Выявление и анализ основных угроз безопасности данной системы
- •1.3 Основные компоненты системы защиты
- •Глава 2. Исследование способов противодействия сетевым атакам
- •2.1 Снижение угрозы сниффинга пакетов
- •2.2 Противодействие dDoS-атакам
- •2.3 Противодействие атаке arp-spoofing
- •2.4 Противодействие атакам на уровне приложений
- •2.5 Противодействие сетевой разведке
- •Глава 3. Разработка и формирование защищённой сети
- •3.1 Формирование структуры защищённой сети с использованием технологии "Открытый Интернет"
- •3.1.1 Построение защищённой сети с использованием Outpost Firewall Pro
- •3.1.2 Построение защищённой сети с использованием технологии ViPNet [custom]
- •Заключение
- •Список используемой литературы
2.3 Противодействие атаке arp-spoofing
Борьба с ARP-spoofing'ом с помощью arpwatch и подобных инструментов оказывается хотя и очень простой, но далеко не эффективной.
Во-первых, для того чтобы зафиксировать атаку, на защищаемых узлах должна работать программа arpwatch (или аналогичная). В том случае если она запущена только на одном из двух узлов, подвергающихся ARP-spoofing'у, существует возможность незамеченной односторонней атаки.
Во-вторых, и это более важно, arpwatch позволяет только зафиксировать атаку, но он не в состоянии её предотвратить.
Для предотвращения последствий атаки необходимо вмешательство администратора или внешней системы. В первом случае между обнаружением и реакцией администратора может пройти слишком много времени. Во втором вмешательство не требуется, реакция выполняется автоматически: как только ARP-аномалия зафиксирована, определяется порт коммутатора, к которому подключён источник аномалии, и порт блокируется до выяснения. Однако, такой подход имеет большой недостаток - он может быть использован для выполнения DOS-атаки: достаточно только узнать MAC-адрес компьютера, который надо отключит от сети, и сымитировать атаку с этого компьютера. Дальше наша система обнаружения и предотвращения ARP-spoofing'а все сделает сама.
В основе рассматриваемых способов противодействия ARP-атакам лежат два совершенно различных принципа, каждый из которых обладает как достоинствами, так и недостатками.
Оба способа, помимо того что они надёжно защищают от ARP-spoofing'а имеют ещё то преимущество, что позволяют полностью контролировать трафик - не только тот, что проходит через шлюз, но и тот, который циркулирует между машинами (В случае использования PPPoE машины могут по взаимному согласию обмениваться данными между собой напрямую. В случае использования VLAN такой возможности они лишены напрочь.)
2.4 Противодействие атакам на уровне приложений
Невозможно полностью исключить атаки на уровне приложений. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений;
подпишитесь на услуги по рассылке данных о слабых местах прикладных программ.
2.5 Противодействие сетевой разведке
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования - просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями;
кроме системного администрирования, пользуйтесь системами распознавания атак (IDS) - двумя взаимодополняющими друг друга технологиями IDS:
сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;
хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.
В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является их способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.
Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Вывод
Во второй главе мы рассмотрели способы противодействия некоторым сетевым атакам. В результате анализа способов решения организации системы защиты мы выяснили, что убрать воздействие некоторых угроз невозможно совсем, а можно только снизить уровень опасности, связанный с возможностью из реализации.
Очевидно, что построение защищенной системы является весьма сложной задачей. Однако в настоящее время существуют реализации систем информационной безопасности с помощью одного из самых грамотных и экономически выгодных решений на основе построения так называемых защищенных виртуальных частных сетей Virtual Private Network (VPN). VPN-технологии позволяют не только существенно сократить расходы на содержание выделенных каналов связи с удаленными сотрудниками и подразделениями (филиалами), но и повысить конфиденциальность обмена информацией.
В третьей главе рассмотрим построение защищенной сети на основе VPN - технологии.