5.3.6 Система Sink Holes

Для борьбы с DoS атаками на уровне корпоративной сети средств IDS тоже не достаточно. Здесь необходимо использовать связку сложных средств обнаружения и маршрутизации. Рассмотрим самый перспективный на данный в этом направлении момент проект Sink Hole.

Sink Hole работает по принципу Honeypot. Для выявления атаки используется связка различных детекторов атак. После обнаружения атаки она перенаправляется (с помощью протокола BGP) от атакуемого хоста в безопасную зону. Данная технология сводит к минимуму DoS атаку для целевого хоста или подсети.

Рассмотрим пример на рисунке 5.25.

Рисунок 5.25 – DdoS атака на элемент сети Sink Hole

Рисунок 5.26 – DDoS атака на подсеть Sink Hole

Жертва (172.186.20.1) подвергается распределенной DoS атаке. Система обнаружения атак без труда отметит аномальный трафик и сделает вывод о начавшейся атаке. В результате по протоколу BGP будет послан запрос на маршрутизатор сменить маршрутизацию для конкретного хоста и перенаправить весь атакующий трафик в специальную подсеть Sink Hole (рисунок 5.26)

Данная подсеть существует специально для анализа атакуемого трафика. Здесь производится тщательный разбор и логирование всех данных для подведения последующей статистики.

Сети Sink Hole можно ставить как на стороне жертвы, так и на стороне атакующего. Если Sink Hole обнаружит, что атака ведется с его подсети, злоумышленник будет немедленно перенаправлен на фиктивную сеть и нейтрализован для Internet пользователей.

Проанализируем типичную архитектуру безопасной корпоративной сети с выходом в интернет. Она будет опираться на следующие основные принципы:

1. выделение в отдельный сегмент всех внутренних серверов компании;

2. выделение в отдельный сегмент всех серверов компании к которым будет предоставлен доступ из Интернет (создание DMZ – демилитаризованной зоны для внешних ресурсов);

3. создание выделенного сегмента административного управления;

4. создание выделенной подсети для Sink Hole

Проект Sink Hole уже тестируют у себя несколько крупных Internet провайдеров, размещая эти системы перед магистральным выходом в глобальную сеть. По всем результатов эта Sink Hole очень перспективен и дает очень большую гибкость в настройке при внедрении.

Рисунок 5.27 – Типичная архитектура безопасной корпоративной сети с выходом в Internet

Заключение

В пособии нашли свое отражение следующие основные аспекты:

1. Классификация методов подбора паролей.

2. Алгоритмы работы парольной защиты ОС Windows и ОС Unix, включая противодействие подбору паролей.

3. Рассмотрены особенности протоколов, используемых при сканировании портов, и принципов их функционирования. Описаны методы реализации сканирования портов: методы сканирования TCP-портов, методы сканирования UDP-портов.

4. Проанализированы результаты проведения атак сканирования портов с использованием различных программных средств, на различных операционных системах. Описаны методы и средства по противодействию атакам реализующим сканирование портов.

5. Исследованы методы анализа сетевого трафика сети Интернет, рассмотрены протоколы передачи данных FTP,TELNET. Рассмотрен принцип работы программы анализа сетевого трафика (сниффира). Были рассмотрены и выявлены методы противодействия программе анализатору сетевого трафика (сниффиру). Рассмотрены протоколы безопасности информации SSL,SKIP.

6. Проведен анализ протоколов при помощи которых реализуется атака «внедрение ложного доверенного объекта», рассмотрены принципы их функционирования и установлены причины, из-за которых возможна реализация данных атак. Подробно рассмотрены разные модели реализации атаки: внедрение ложного доверенного объекта путем навязывания ложного маршрута, с помощью протокола ICMP и внедрение ложного доверенного объекта путем использования недостатков удаленного поиска на протоколах ARP и DNS. Рассмотрены основные методы обнаружения и противодействия атаке «внедрение ложного доверенного объекта» для каждой модели ее реализации на современном оборудовании.

7. Классифицированы и исследованы модели атак на отказ в обслуживании. Исследованы основные виды атак на отказ в обслуживании. Проанализированы методы противодействия атакам на отказ в обслуживании.