Системы обнаружения и предотвращения атакам

Лекция 2 Классификация атак

Классификация удаленных атак на распределенные вычислительные системы

Основные причины уязвимости IP-сетей

1.Сеть Internet разрабатывалась как открытая и децентрализованная сеть с изначальным отсутствием политики безопасности.

2.Большая протяженность линий связи и уязвимость основных служб.

3.Модель «клиент — сервер», на которой основана работа в Internet, не лишена слабостей и лазеек в продуктах отдельных производителей.

4.Информация о существующих и используемых средствах защиты доступна пользователям.

5.Существует возможность наблюдения за каналами передачи данных.

6.Средства управления доступом сложно конфигурировать, настраивать и контролировать.

7.Использование большого числа сервисов, информационных служб и сетевых протоколов, освоение которых одному человеку в лице администратора сети практически недоступно.

8.Недостаток в специалистах по защите информации в Internet.

9.Существует потенциальная возможность обойти средства обнаружения отправителя информации либо посетителя Web-узла с помощью использования виртуальных IP-адресов.

10.Аутентификация отправителя осуществляется исключительно по его IP-адресу.

11.Процедура аутентификации выполняется только на стадии установления соединения – в дальнейшем подлинность принимаемых пакетов не проверяется.

12.Важнейшие данные, имеющие отношение к системе, передаются по сети в

незашифрованном виде.

«Врожденные слабости» служб Интернет:

остой протокол передачи электронной почты SMTP; ограмма электронной почты Sendmail;

ужба сетевых имен DNS;

ужба эмуляции удаленного терминала Telnet; емирная паутина WWW;

токол передачи файлов FTP.

году создана рабочая группа IP Security Working Group, отан набор протоколов IPSec, основанных на современных

огиях шифрования и электронной цифровой подписи данных.

Характеристика и механизмы реализации типовых удаленных атак

Классификация типовых удаленных атак на распределенные ВС

Анализ сетевого трафика

Анализ сетевого трафика позволяет:

- изучить логику работы распределенной ВС; - перехватить поток данных, которыми обмениваются объекты распределенной ВС.

По характеру воздействия анализ сетевого трафика является пассивным воздействием (класс 1.1). Осуществление данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления атаки безусловно по отношению к цели атаки (класс 3.3).

Анализ сетевого трафика Internet

- Программы мониторинга имеют гибкие настройки для мониторинга трафика.

Можно установить диапазон IP-адресов, порты и протоколы, для которых будет или не будет производиться мониторинг. Система фильтров, позволяющая оценить объем любой части трафика.

-Анализатор трафика, или сниффер - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Анализ прошедшего через сниффер трафика позволяет:

-обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).

-перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.

-локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами).

Анализ сетевого трафика

Internet

Характеристика и механизмы реализации типовых удаленных атак