
- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Тема 2. Классификация типичных атак. Сценарий и уровни атак.
Основные (классические) типы атак:
«летучая смерть». Результатом данной атаки является зависание атакуемого узла. Для осуществления данного типа атаки нужно знать IP-адрес атакуемого узла. Суть атаки основана на том факте, что максимальный размер IP-пакета ограничен и равен он 65535 байта.
Для хранения такого максимального размера пакета в IP-заголовке отведено 16 бит и на такую максимальную длину рассчитано существующее ПО. Дело в том, что более нижний, чем сетевой уровень IP , уровень соединения инкапсулирует IP-детаграммы в кадры собственной спецификации (например, Интернет). При этом сетевой уровень IP фрагментирует IP-детаграмму на несколько пакетов соответствующих максимальному размеру пакета уровня соединения.
В поле заголовка пакета имеется флаг-фрагмент, обозначающий продолжение во время фрагментации (установка единицы). В последнем фрагменте устанавливается в «0», что означает конец фрагментации. Кроме того заголовки фрагмента IP размещает в поле смещения фрагмента (смещение данного фрагмента от начала исходного IP-пакета). Максимальное смещение при этом равно 65528 байт.
Таким образом, если во фрагменте IP-детаграммы выставить флаг продолжения и подцепить вторую детаграмму, то можно получить результирующую детаграмму, размер которой будет превышать максимально допустимый.
Лазейка, позволяющая осуществить данный тип атаки, существует в самой системе IP-протокола. Потенциально опасными являются все порты компьютера. Решение проблемы лежит в разработке ПО способного корректно обрабатывать IP-пакеты нестандартной длины. Если сеть закрыта межсетевым экраном и идет запрещение трафика по протоколу ICMP, то атака не проходит.
SYN-бомбардировка. Основана на слабости транспортного протокола TCP. Суть в том, что протокол TCP в отличие от IP является надежным и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определенный промежуток времени подтверждения о получении данных клиентом сервер будет отправлять их до тех пор пока не получит подтверждение. Данная атака активизируется при запросах с наполовину открытыми соединениями. Результатом осуществления атаки является аварийное завершение работы системы.
Все TCP соединения являются дуплексными (двунаправленными). В силу этого оба соединения модуля TCP должны учитывать и нумеровать данные в каждом направлении по-разному, а это значит обрабатывать два начальных номера последовательности использующихся при транспортировке пакетов. Когда начальный номер получен клиентом, клиент в свою очередь отправляет сегмент с флагом подтверждения и номером подтверждения последовательности полученной с сервера. Однако можно достаточно легко модифицировать стандартный файл TCP протокола так, чтобы он постоянно отправлял на сервер сегменты с проставленным флагом синхронизации и различными начальными номерами последовательности, тогда в ответ на каждый такой сегмент сервер открывает отдельный канал связи и посылает ответные сегменты. Компьютер злоумышленника не отвечает на приходящие данные, а только посылает все новые и новые запросы.
Решение проблемы лежит в области создания специальных программ, анализирующих запросы на установленные соединения, не допускающих большого количества безответных запросов. Другой вариант, настроить межсетевой экран так, чтобы TCP/IP-соединение устанавливает только он сам.
Спуффинг. Суть заключается в том, что как на TCP, так и на IP протоколах действие его одинаково и заключается в подмене адресов.
Этапы спуффинга:
а) злоумышленник определяет IP адрес доверенного компьютера.
б) злоумышленник легальным способом устанавливает связь с сервером и получает начальный номер последовательности. Этот начальный номер последовательности необходим для того, чтобы сервер определил этот компьютер как доверенный и выделил ему отдельный канал связи.
в) злоумышленник временно выводит из строя доверенный компьютер, IP-адрес которого уже ему известен. Для того чтобы не дать послать ответ о том, что соединение не было запрошено. Иначе сервер закроет канал связи.
г) злоумышленник представляет себя в качестве доверенного компьютера и получает начальный номер последовательности уже атакованного узла.
д) зная начальный номер последовательности этого узла, он может выдать его за себя.
4) нападение на основе протокола ICMP. ICMP является служебным протоколом, т.е. протоколом обмена служебными сообщениями. Одной из его функций является удаленное управление таблицей маршрутизации.
Идея атак состоит в том, чтобы обмануть маршрутизаторы и заставить их работать по своей таблице маршрутизации. Это позволяет получить доступ к потоку информации, модифицировать его, отправляя далее на защищенные системы.
Простейшая атака основана на злоупотреблении параметров протокола и заключается в создании дублера системы, заставляя маршрутизатор перенаправлять все пакеты этому дублеру.
ARP-спуффинг. ARP-протоколы используют для того, чтобы получить взаимно-однозначные соответствия IP и интернет адресов внутри одного сегмента.
Суть заключается в том, что перехватив на атакующем узле внутри данного сегмента сети ARP-запрос можно послать сложный ARP-ответ, в котором объявить себя искомым узлом и в дальнейшем контролировать и воздействовать на сетевой трафик обманутого узла. Данный тип атаки возможен только в сети с широковещательной средой (интернет) и является внутрисегментной.
ЛЕКЦИЯ №3.