- •1.1Общие типы сетевых атак Прослушивание
- •Изменение данных
- •Подмена идентификации (подмена ip-адреса)
- •Атаки на пароли
- •Атаки на службу
- •Атаки «третьего»
- •Атаки с подбором ключа
- •Атаки с использованием средств прослушивания
- •Атаки на уровне приложений
- •3. Использование протокола ipSec (Internet Protocol Security)
- •3.1 Основные сведения о политике безопасности ipSec
- •3.2 Типы протокола ipSec и компоненты ipSec
- •3.3 Работы ipSec
- •4. Виртуальные частные сети и ipSec
- •L2tp и ipSec
- •Туннелирование ipSec
- •4.1 Описание политики ipSec
- •4.2 Общие параметры политики ipSec
- •4.3 Параметры обмена ключами
- •Время жизни ключа
- •4.4 Методы обмена ключами
- •Группы Диффи-Хелмана
- •4.5 Правила
- •Правило отклика по умолчанию
- •5. Советы и рекомендации
- •6. Наблюдение за действиями политики ipSec
Безопасность при работе в протоколе IP
1.Основные положения
1.1Общие типы сетевых атак Прослушивание
Обычно большая часть обмена данными через сеть происходит в незашифрованном формате, что позволяет злоумышленникам, получившим доступ к путям передачи данных в сети, наблюдать за трафиком и интерпретировать (читать) его. Наблюдение злоумышленниками за линиями связи называется незаконным доступом или прослушиванием. Возможность злоумышленников наблюдать за сетью является самой серьезной проблемой безопасности, с которой могут сталкиваться администраторы в организации. Без надежных служб шифрования, основанных на криптографии, данные можно прочесть во время их передачи по сети.
Изменение данных
После прочтения данных злоумышленником следующим логическим шагом часто является их изменение. Для изменения данных в пакете злоумышленнику не обязательно знать, кем и кому они отправлены. Даже при отсутствии потребности в защите всех связей изменение каких-либо сообщений на пути их следования нежелательно. Например, при обмене заявками на приобретение нежелательно изменение сведений о наименовании товара, объеме заказа и его стоимости.
Подмена идентификации (подмена ip-адреса)
Большинство сетей и операционных систем использует IP-адреса для идентификации компьютеров в качестве полноправных узлов сети. В некоторых случаях возможно использование фальшивых IP-адресов. Такое использование IP-адресов называют подменой идентификации. Злоумышленники могут использовать специальные программы для создания пакетов IP, выглядящих как отправленные с действующих адресов в интрасети организации.
После получения доступа к сети с помощью действительного IP-адреса злоумышленник может изменять, перенаправлять или удалять данные. Кроме того, злоумышленник получает возможность проведения других типов атак, описанных ниже.
Атаки на пароли
Большинство планов безопасности операционных систем и сетей предусматривает управление доступом с помощью паролей. Доступ к ресурсам компьютера и сети определяется именем пользователя и паролем.
Ранние версии компонентов операционной системы не всегда защищают сведения об идентификации во время их передачи по сети для проверки. Это может позволить определить действующие имя пользователя и пароль с помощью прослушивания сети, а затем использовать полученные сведения для получения доступа к сети.
Злоумышленник, нашедший действующую учетную запись и получивший к ней доступ, пользуется теми же правами, что и владелец этой учетной записи. Например, если пользователь имеет права администратора, злоумышленник сможет создавать дополнительные учетные записи для последующего доступа.
После получения доступа к сети с помощью действующей учетной записи злоумышленник сможет выполнять любые из следующих задач:
получение списка действующих имен пользователей и компьютеров и сведений о сети;
изменение конфигураций серверов и сети, включая таблицы управления доступом и маршрутизации;
изменение, перенаправление или удаление данных.
Атаки на службу
В отличие от атак на пароли, атаки на службу мешают нормальному использованию компьютера или сети действующими пользователями.
После получения доступа к сети злоумышленник сможет выполнять любые из следующих задач.
Сбить с толку сотрудников информационных систем, чтобы они не обнаружили проникновение сразу же. Это дает злоумышленнику возможность выполнения дополнительных атак.
Отправить в приложения или сетевые службы недопустимые данные, вызывающие закрытие или неправильную работу приложений или служб.
Повысить трафик до прекращения работы компьютера или всей сети.
Блокировать трафик, что приведет к потере доступа к ресурсам сети пользователями, прошедшими проверку.