- •Защита информации с помощью KerioWinRouteFirewall
- •2.Цель работы
- •3.Краткие теоретические сведения
- •3.1 Перечень возможных угроз безопасности
- •3.2 Атаки сети, виды и защита
- •3.2.1 Почтовая бомбардировка
- •3.2.2 Атаки с подбором пароля
- •3.2.3 Вирусы, почтовые черви и "троянские кони"
- •3.2.4 Сетевая разведка
- •3.2.5 Пассивные атаки на уровне tcp
- •Подслушивание - Сниффинг пакетов
- •3.2.6 Активные атаки на уровне tcp
- •3.2.6.1 Предсказание tcp sequence number - ip-спуфинг
- •Описание
- •Детектирование и защита
- •3.2.6.2 Ip Hijacking
- •Описание
- •Ранняя десинхронизация
- •Десинхронизация нулевыми данными
- •Ack-буря
- •Детектирование и защита
- •3.2.6.3 Пассивное сканирование
- •3.2.6.4 Атака на отказ в обслуживании
- •Затопление icmp-пакетами
- •Затопление syn-пакетами
- •3.2.6.5 Локальная буря
- •3.2.7 Атаки типа Man-in-the-Middle
- •3.2.8 Использование "дыр" и "багов" в по
- •3.3 Классификация средств защиты
- •3.3.1 Традиционные методы и средства обеспечения безопасности квс
- •3.3.2 Специфические сетевые методы и средства обеспечения безопасности
- •3.4 Kerio Winroute Firewall
- •3.4.1 Назначение программного обеспечения и задачи администрирования
- •3.4.2 Инструкция по установке
- •3.4.3 Инструкция по настройке
- •3.4.4 Инструкция по эксплуатации
- •4. Задание на лабораторную работу
- •Совместимость с операционными системами, с другим программным обеспечением и другими программами данного пакета WinRoute
3.2.6.5 Локальная буря
Сделаем небольшое отступление в сторону реализации TCP/IP и рассмотрим "локальные бури" на пример UDP-бури. Как правило, по умолчанию системы поддерживают работу таких UDP-портов, как 7 ("эхо", полученный пакет отсылается назад), 19 ("знакогенератор", в ответ на полученный пакет отправителю выслается строка знакогенератора) и других (date etc).
В данном случае крэкер может послать единственный UDP-пакет, где в качестве исходного порта будет указан 7, в качестве получателя - 19-й, а в качестве адреса получателя и отправителя будут указаны, к примеру, две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й порт отвечает строкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19 и так до бесконечности.
Бесконечный цикл съедает ресурсы машин и добавляет на канал бессмысленную нагрузку. Конечно, при первом потерянном UDP-пакете буря прекратиться. Как недавно стало известно, данная атака временно выводит из строя (до перезагрузки) некоторые старые модели маршрутизаторов.
Очевидно, что в бесконечный разговор могут быть вовлечены многие демоны (в случае TCP/IP может быть применен TCP/IP spoofing, в случае UDP/ICMP достаточно пары фальшивых пакетов).
В качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресам, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.
3.2.7 Атаки типа Man-in-the-Middle
Этот тип атак весьма характерен для промышленного шпионажа. При атаке типа Man-in-the-Middle хакер должен получить доступ к пакетам, передаваемым по Сети, а потому в роли злоумышленников в данном случае часто выступают сами сотрудники предприятия или, к примеру, сотрудник фирмы-провайдера. Для атак Man-in-the-Middle часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Цель подобной атаки, соответственно, - кража или фальсификация передаваемой информации или же получение доступа к ресурсам сети. Защититься от подобных атак крайне сложно, так как обычно это атаки "крота" внутри самой организации. Поэтому в чисто техническом плане обезопасить себя можно только путем криптошифрования передаваемых данных. Тогда хакер вместо необходимых ему данных получит мешанину символов, разобраться в которой, не имея под рукой суперкомпьютера, попросту невозможно. Впрочем, если злоумышленнику повезет, и он сможет перехватить информацию о криптографической сессии, шифрование данных автоматически потеряет всяческий смысл. Так что "на переднем крае" борьбы в данном случае должны находиться не "технари", а кадровый отдел и служба безопасности предприятия.
3.2.8 Использование "дыр" и "багов" в по
Весьма и весьма распространенный тип хакерских атак - использование уязвимых мест (чаще всего банальных недоработок) в широко используемом программном обеспечении, прежде всего для серверов. Особо "славится" своей ненадежностью и слабой защищенностью ПО от Microsoft. Обычно ситуация развивается следующим образом: кто-либо обнаруживает "дыру" или "баг" в программном обеспечении для сервера и публикует эту информацию в Интернете в соответствующей конференции. Производитель данного ПО выпускает патч ("заплатку"), устраняющий данную проблему, и публикует его на своем web-сервере. Проблема в том, что далеко не все администраторы, по причине элементарной лени, постоянно следят за обнаружением и появлением патчей, да и между обнаружением "дыры" и написанием "заплатки" тоже какое-то время проходит. Хакеры же тоже читают тематические конференции и, надо отдать им должное, весьма умело применяют полученную информацию на практике. Не случайно же большинство ведущих мировых специалистов по информационной безопасности - бывшие хакеры. Основная цель подобной атаки - получить доступ к серверу от имени пользователя, работающего с приложением, обычно с правами системного администратора и соответствующим уровнем доступа. Защититься от подобного рода атак достаточно сложно. Одна из причин, помимо низкокачественного ПО, состоит в том, что при проведении подобных атак злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран и которые не могут быть закрыты по чисто технологическим причинам. Так что лучшая защита в данном случае - грамотный и добросовестный системный администратор.