- •Защита информации с помощью KerioWinRouteFirewall
- •2.Цель работы
- •3.Краткие теоретические сведения
- •3.1 Перечень возможных угроз безопасности
- •3.2 Атаки сети, виды и защита
- •3.2.1 Почтовая бомбардировка
- •3.2.2 Атаки с подбором пароля
- •3.2.3 Вирусы, почтовые черви и "троянские кони"
- •3.2.4 Сетевая разведка
- •3.2.5 Пассивные атаки на уровне tcp
- •Подслушивание - Сниффинг пакетов
- •3.2.6 Активные атаки на уровне tcp
- •3.2.6.1 Предсказание tcp sequence number - ip-спуфинг
- •Описание
- •Детектирование и защита
- •3.2.6.2 Ip Hijacking
- •Описание
- •Ранняя десинхронизация
- •Десинхронизация нулевыми данными
- •Ack-буря
- •Детектирование и защита
- •3.2.6.3 Пассивное сканирование
- •3.2.6.4 Атака на отказ в обслуживании
- •Затопление icmp-пакетами
- •Затопление syn-пакетами
- •3.2.6.5 Локальная буря
- •3.2.7 Атаки типа Man-in-the-Middle
- •3.2.8 Использование "дыр" и "багов" в по
- •3.3 Классификация средств защиты
- •3.3.1 Традиционные методы и средства обеспечения безопасности квс
- •3.3.2 Специфические сетевые методы и средства обеспечения безопасности
- •3.4 Kerio Winroute Firewall
- •3.4.1 Назначение программного обеспечения и задачи администрирования
- •3.4.2 Инструкция по установке
- •3.4.3 Инструкция по настройке
- •3.4.4 Инструкция по эксплуатации
- •4. Задание на лабораторную работу
- •Совместимость с операционными системами, с другим программным обеспечением и другими программами данного пакета WinRoute
Детектирование и защита
Простейшим сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из внешнего мира. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако не стоит обольщаться - атака может быть и изнутри Вашей сети.
В случае использования более интеллектуальных средств контроля за сетью администратор может отслеживать (в автоматическом режиме) пакеты от систем, которые находятся в недоступном состоянии. Впрочем, что мешает крэкеру имитировать работу системы B ответом на ICMP-пакеты?
Какие способы существуют для защиты от IP-spoofing? Во-первых, можно усложнить или сделать невозможным угадывание sequence number (ключевой элемент атаки). Например, можно увеличить скорость изменения sequence number на сервере или выбирать коэффициент увеличения sequence number случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм).
Также имеет смысл настроить системы безопасности таким образом, чтобы они отсекали любой трафик, поступающий из внешней сети с исходным адресом, который должен на самом деле находиться в сети внутренней. Впрочем, это помогает бороться с IP-спуфингом, только когда санкционированными являются лишь внутренние адреса. Если таковыми являются и некоторые внешние адреса, использование данного метода теряет смысл.
Если сеть использует firewall (или другой фильтр IP-пакетов), следует добавить ему правила, по которым все пакеты, пришедшие извне и имеющие обратные адреса из нашего адресного пространства, не должны пропускаться внутрь сети. Кроме того, следует минимизировать доверие машин друг другу. В идеале не должны существовать способа, напрямую попасть на соседнюю машину сети, получив права суперпользователя на одной из них. Конечно, это не спасет от использования сервисов, не требующих авторизации, например, IRC (крэкер может притвориться произвольной машиной Internet и передать набор команд для входа на канал IRC, выдачи произвольных сообщений и т.д.).
Неплохо также на всякий случай заблаговременно пресечь попытки спуфинга чужих сетей пользователями вашей сети - эта мера может позволить избежать целого ряда неприятностей, если внутри организации объявится злоумышленник или просто компьютерный хулиган. Для этого нужно использовать любой исходящий трафик, если его исходный адрес не относится ко внутреннему диапазону IP-адресов организации. При необходимости данную процедуру может выполнять и провайдер услуг Интернет. Этот тип фильтрации известен под названием "RFC 2827". Опять-таки, как и в случае со сниффингом пакетов, самой лучшей защитой будет сделать атаку абсолютно неэффективной. IP-спуфинг может быть реализован только при условии, что аутентификация пользователей происходит на базе IP-адресов. Поэтому криптошифрование аутентификации делает этот вид атак бесполезными. Впрочем, вместо криптошифрования с тем же успехом можно использовать случайным образом генерируемые одноразовые пароли.
Шифрование TCP/IP-потока решает в общем случае проблему IP-spoofing'а (при условии, что используются криптографически стойкие алгоритмы).
Для того, чтобы уменьший число таких атак, рекомендуется также настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному пространству. Это защитит мир от атак из внутренней сети, кроме того, детектирование подобных пакетов будет означать нарушение внутренней безопасности и может помочь администратору в работе.