Security_metod
.pdf
ної безпеки швидше реагувати та знизити негативний вплив цих атак на мережні пристрої та користувачів. В кінці 1990-х років, системи запобігання вторгненням (IPS) почали замінювати рішення IDS. Пристрої IPS дозволяють не тільки виявляти шкідливу діяльність, але і мають можливість автоматично блокувати атаку в режимі реального часу.
На додаток до рішень IDS та IPS, були розроблені міжмережні екрани, брандмауери (firewalls) для запобігання входу небажаного трафіку до області мережі, яка охороняється. Тим самим забезпечується периметр безпеки. У 1988
році, Digital Equipment Corporation (DEC) створила перший мережний брандма-
уер у вигляді пакетного фільтра. Ці ранні брандмауери перевіряли пакети на відповідність наборам встановлених правил з можливістю переадресації або видалення пакетів. Брандмауери пакетної фільтрації перевіряли кожен пакет окремо без урахування, чи не є він частиною існуючого з'єднання. У 1989 році AT & T Bell Laboratories розробили перший брандмауер з урахуванням стану (stateful firewall). На додаток до функцій брандмауера пакетної фільтрації такий брандмауер відстежував встановлені з'єднання і визначав, якщо пакет належить існуючому потоку даних, забезпечуючи кращу безпеку та пришвидшену обробку.
Перші брандмауери були функціями програмного забезпечення, які додавалися до вже існуючих мережних пристроїв, таких як маршрутизатори. З часом, деякі компанії розробили автономні, або виділені брандмауери, які дозволяють розвантажити пам'ять і ресурси процесора маршрутизатора та комутатора від діяльності з фільтрації пакетів.
Як показано на рисунку 1, окрім загроз ззовні мережі, фахівці з мережної безпеки також мають бути готові до загроз зсередини мережі.
Рис. 1 – Типи загроз мережі
10
Внутрішні загрози, будь то навмисне чи випадково, можуть викликати ще більший збиток, ніж зовнішні загрози з причин прямого доступу до програм і знань про корпоративну мережу і дані. Однак, більше 20 років пройшло після впровадження інструментів і методів для пом'якшення зовнішніх загроз, перш ніж з’явилися інструменти і методи для пом'якшення внутрішніх загроз.
Поширений сценарій загрози, яка загрожує зсередини мережі, - це незадоволений працівник з деякими технічними навичками і бажанням заподіяти шкоду. Більшість загроз зсередини мережі - результат протоколів і технологій, які використовуються на локальної мережі (LAN) або комутованої інфраструктури. Ці внутрішні загрози поділяються на дві категорії: підміна (spoofing) і відмова в обслуговуванні (DoS).
Spoofing атаки – це атаки, в яких один пристрій намагається видавати себе за інший шляхом фальсифікації даних. Існує кілька типів підміни. Наприклад, підміна MAC-адреси відбувається, коли один комп'ютер приймає пакети даних на MAC-адресі іншого комп'ютера.
DoS атака робить комп'ютерні ресурси недоступними для потенційних користувачів. Зловмисники використовують різні методи запуску DoS-атак.
Криптографія
Мережна безпека також вимагає, щоб дані залишалися завжди захищеними. Криптографія, дослідження та практика приховування інформації використовуються в сучасній організації мережної безпеки. Сьогодні для кожного типу мережної взаємодії існує відповідний протокол або технологія, які розроблені, щоб приховати комунікацію від усіх, окрім користувача, для якого вона призначена.
Мережні дані можуть бути зашифровані за допомогою різних криптографічних застосунків. Розмова між двома користувачами IP-телефонів може бути зашифрована. Файли на комп'ютері також можуть бути зашифровані. Це всього лише кілька прикладів. Криптографія може бути використана практично будьде при передачі даних. Сьогодні є тенденція до шифрування всіх комунікацій.
Криптографія забезпечує конфіденційність даних, яка є одним з трьох компонентів інформаційної безпеки: конфіденційність, цілісність і доступність.
Інформаційна безпека передбачає захист інформації та інформаційних систем від несанкціонованого доступу, використання, розголошення, руйнування, модифікації або знищення. Шифрування забезпечує конфіденційність, приховуючи текст даних. Цілісність даних означає, що дані залишаються незмінними протягом будь-якої операції за рахунок використання механізму хешування. Доступність даних гарантується механізмами відмовостійкості мережі і системами резервного копіювання.
1.2 Рушійні сили мережної безпеки
Слово «хакер» має безліч значень. Для багатьох, це Інтернет-програмісти, які намагаються отримати несанкціонований доступ до пристроїв в мережі Інтернет. Також цей термін застосовується до людей, які запускають програми,
11
що заважають або сповільнюють доступ до мережі для великої кількості користувачів, пошкоджують або знищують дані на серверах. Але для декого, термін «хакер» має позитивну інтерпретацію, це мережний професіонал, який використовує складні навички інтернет-програмування для того, щоб попередити ураження мереж атаками. З доброю чи поганою метою, але злами є рушійною силою розвитку мережної безпеки.
З точки зору бізнесу необхідно звести до мінімуму наслідки дій хакерів, які мають негарні наміри. Компанії втрачають свою продуктивність, коли мережа працює повільно або взагалі не відповідає на запити. Прибуток від підприємницької діяльності залежить від втрати та пошкодження даних.
Завдання професіонала з мережної безпеки - залишатися на крок попереду хакерів, відвідуючи тренінги та семінари, приймаючи участь в роботі організацій безпеки, підписавшись на отримання новин щодо загроз в реальному часі, щоденно переглядаючи сайти, присвячені проблемам безпеки. Професіонали з мережної безпеки повинні мати багато рис, які притаманні співробітникам правоохоронних органів. Вони завжди повинні пам'ятати про шкідливу діяльність та мати навички і інструменти для усунення або мінімізації загроз, пов'язаних з цією діяльністю.
Злам має небажаний ефект створення високого попиту на фахівців з мережної безпеки. Порівняно з іншими технологічними професіями, мережна безпека має стрімку криву навчання і вимагає прихильності до безперервного професійного розвитку.
Еволюція хакингу
Хакинг (hacking) почався в 1960-х роках з телефонного фрікінгу (phreaking), який використовує різні звукові частоти для управління телефонними системами. Фрікінг почався, коли компанія AT&T представила автоматичні комутатори для своїх телефонних систем. Телефонні комутатори AT&T використовували різні сигнали, або тональний набір, для позначення таких функцій, як завершення виклику і набір номеру. Кілька клієнтів AT&T зрозуміли, що, імітуючи ці сигнали, вони могли б примусити телефонний комутатор здійснювати для них безкоштовні міжміські дзвінки.
Разом з розвитком систем зв'язку розвивалися і методи злому. Wardialing став популярним у 1980-х роках з початком використання комп'ютерних модемів. Wardialing програми автоматично сканують номери телефонів в межах району, набираючи кожен з них у пошуках комп'ютерів, електронних дошок оголошень і факсимільних апаратів. Коли телефон знайдений, використовуються програми злому паролів для отримання доступу.
Wardriving (дослідження бездротових мереж) почався в 1990-х роках і досі є популярним. За допомогою wardriving користувачі отримували несанкціонований доступ до мереж через бездротові точки доступу. Це досягається за допомогою ноутбука з підтримкою бездротового доступу або КПК. Для аутентифікації та підключення до точки доступу використовуються програми злому паролів та схем шифрування.
12
Інші загрози також еволюціонували з часом, в тому числі інструменти сканування мережі: Nmap, John the Ripper, Cain and Abel, SATAN, а також ха-
керські утиліти віддаленого адміністрування системи, такі як Back Orifice. Професіонали мережної безпеки мають бути знайомі з цими інструментами.
Перші атаки на мережі
Угоди на трильйони доларів проходять через Інтернет щоденно, і засоби існування мільйонів людей залежать від інтернет-комерції. З цієї причини, кримінальне законодавство діє з метою захисту індивідуальних і корпоративних активів. Існують чисельні випадки, коли осіб притягнули до судової відповідальності відповідно до цих законів.
Перший вірус електронної пошти, вірус Melissa. Він була написаний Девідом Смітом Абердіном із Нью-Джерсі. Цей вірус призвів до переповнення пам'яті на поштових серверах в Інтернеті. Девід Сміт був засуджений до 20 місяців перебування у федеральній в'язниці і штрафу в 5000 $.
Роберт Морріс створив першого інтернет-хробака з 99 рядків коду. Коли черв'як Морріса був запущений в Інтернет, 10 відсотків інтернет-систем були зупинені. Роберт Морріс був звинувачений і отримав три роки умовно, 400 годин громадських робіт і штраф у розмірі 10 000 $.
Спам використовує технології обміну повідомленнями, такі як електронна пошта для відправки небажаних масових повідомлень. Перший спам був поширений в Projects Agency Network (ARPAnet) у 1978 році.
DoS атака намагається зробити недоступними сервіс або сервер для можливих користувачів.
Коли хакери використовують свій творчий потенціал зі зловмисною метою, для атак спаму, DoS, або злому рахунків, вони часто в кінцевому підсумку потрапляють до в'язниці і сплачують великі штрафи. Вони також втрачають доступ до середовища, в якому вони процвітають.
Професіонали у галузі мережної безпеки
Як результат хакерських атак, витонченості хакерських інструментів та державного законодавства, рішення мережної безпеки швидко почали розвиватися в 1990-х роках. Разом з цими рішеннями з’явилися нові робочі місця і збільшення зарплатні в області мережної безпеки.
Річний дохід професіонала з мережної безпеки знаходиться на вищому кінці шкали для кар'єри в ІТ, через необхідну глибину знань.
Професіонали з мережної безпеки несуть відповідальність за підтримку впевненості організації в безпеці своїх даних, забезпечення цілісності та конфіденційності інформації. Професіонал з мережної безпеки може бути відповідальним за розгортання міжмережних екранів і систем запобігання вторгненням, а також забезпечення шифрування даних компанії. Реалізація схеми аутентифікації на підприємстві це ще одне важливе завдання. Тому професіоналам так важливо підтримувати зв’язок з організаціями мережної безпеки. Ці організації часто мають найсвіжішу інформацію про загрози і вразливості.
13
1.3 Організації, які займаються питаннями мережної безпеки
Професіонали з мережної безпеки мають співпрацювати з колегами частіше, ніж у більшості інших професій. В тому числі це відвідування семінарів та конференцій.
Виділяють три основні організації з питань безпеки мережі:
SysAdmin, Audit, Network, Security (SANS) Institute
Computer Emergency Response Team (CERT)
International Information Systems Security Certification Consortium (pronounce (ISC)2 as "I-S-C-squared")
SANS Institute
SANS була створена в 1989 році як науково-освітня організація. В центрі уваги SANS - тренінги з питань інформаційної безпеки та сертифікація. SANS розробляє наукову документацію про різні аспекти інформаційної безпеки.
SANS спирається на коло осіб, які можуть поділитися досвідом вирішення різних проблем. У центрі уваги SANS - практики безпеки в різних міжнародних організаціях, від корпорацій до університетів, які працюють разом, щоб допомогти всьому співтовариству в галузі інформаційної безпеки.
Ресурси SANS здебільшого вільні і надаються за запитом. Це популярний Internet Storm Center, системи раннього попередження Інтернету; NewsBites, щотижневі зведення новин; @ RISK, щотижневий дайджест вразливостей.
CERT
CERT є підрозділом Software Engineering Institute (SEI) при Університеті Карнегі-Меллона, який фінансується з федерального бюджету США. CERT започаткований для роботи з інтернет-спільнотою у виявленні та вирішенні інцидентів комп'ютерної безпеки. Хробак Морріса спонукав створення CERT відповідно до постанови DARPA. Координаційний центр CERT (CERT/CC) фокусується на координації взаємодії між експертами під час надзвичайних ситуацій з безпеки, щоб запобігти подібним інцидентам у майбутньому.
CERT фокусується на п'яти областях: якість програмного забезпечення, захищені системи, організаційна безпека, скоординовані засоби відповіді, а також освіта і професійне навчання.
CERT поширює інформацію за рахунок публікації статей, науководослідних та технічних повідомлень і доповідей з різних питань безпеки. CERT працює із засобами масової інформації для підвищення обізнаності про ризики в Інтернеті і кроки, які користувачі можуть вжити, щоб захистити себе.
14
(ISC)2
(ISC)2 забезпечує незалежні від постачальника освітні продуктів та кар'є- рні послуги в більш ніж 135 країнах. До її складу входять більше 75 тисяч сертифікованих фахівців промисловості по всьому світу.
Місія (ISC)2 - зробити кібер-простір безпечнішим за рахунок підвищення статусу інформаційної безпеки в суспільстві, а також підтримки і розвитку фахівців з мережної безпеки по всьому світу.
(ISC) 2 розробляє та підтримує загальну базу знань Common Body of Knowledge (CBK). CBK визначає глобальні галузеві стандарти, є загальною основою термінів і принципів, на яких базуються облікові дані (ISC)2. CBK дозволяє фахівцям всього світу обговорювати і вирішувати питання, які відносяться до області безпеки.
Зокрема, (ISC)2 є загальновизнаною для чотирьох сертифікатів інформаційної безпеки, в тому числі однієї з найпопулярніших сертифікацій Certified Information Systems Security Professional (CISSP).
RSS
На додаток до веб-сайтів різних організацій безпеки, одним з найбільш корисних інструментів для професіонала з мережної безпеки є Really Simple Syndication (RSS) канали.
RSS є сімейство XML форматів, які використовуються для публікації інформації, яка часто оновлюється, наприклад, записів у блозі, заголовків новин, аудіо та відео. RSS використовує стандартний формат. RSS потік містить повний або узагальнений текст, а також метадані, такі як дата публікації та авторство.
RSS надає переваги професіоналам, які хочуть підписатися на своєчасні оновлення з улюблених сайтів або агрегувати канали з багатьох сайтів в одному місці. RSS-канали можна читати за допомогою веб-RSS читача, як правило вбудованого до веб-браузера. Програмне забезпечення для читання RSS перевіряє канали, на які підписаний користувач, на наявність оновлень і надає інтерфейс для моніторингу і читання новин.
1.4 Домени мережної безпеки
Для професіонала з мережної безпеки дуже важливо розуміти рушійні сили мережної безпеки та розумітися на різних областях мережної безпеки. Домени забезпечують організовану основу для полегшення процесу навчання мережній безпеці.
Є 12 доменів мережної безпеки, встановлених International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC). Описані
ISO / IEC 27002, ці 12 доменів слугують для організації на високому рівні великих областей інформації з мережної безпеки.
12 доменів призначені для використання в якості загальної основи для розробки організаційних стандартів безпеки та ефективних методів управління безпекою, а також мають допомогти полегшити спілкування між організаціями.
15
Одним з найбільш важливих доменів є політика безпеки. Політика безпеки є офіційною збіркою правил, яких мають дотримуватися люди, якщо вони отримують доступ до технологій та інформаційних активів організації. Концепція, розробка і застосування політики безпеки критично важливі для підтримки безпеки організації.
1.5. Політика мережної безпеки
Політика безпеки - це широкий всеосяжний документ, призначений для прозорого застосування в діяльності організації. Політика використовується при проектуванні мережі для відповідності принципам безпеки та спрощення розгортання мережі.
В Політиці безпеки викладаються правила доступу до мережі, визначається як політика реалізується, описується базова архітектура середовища мережної безпеки в організації. Через широту охоплення і впливу, як правило, складається комісією. Це комплексний документ розробляється комісією, він призваний врегулювати такі дії, як доступ до даних, перегляд веб-сторінок, використання паролів, шифрування і вкладень електронної пошти.
Коли Політика створена, має бути ясно, які послуги будуть доступні тільки певним користувачам. Політика безпеки встановлює ієрархію прав доступу, що дає співробітникам лише мінімальний доступ, необхідний для виконання своєї роботи.
Політика безпеки визначає які активи повинні бути захищені і дає вказівки про те, як саме вони повинні бути захищені. Це буде потім використовуватися для визначення пристроїв безпеки та стратегій і процедур щодо пом'якшення наслідків, які мають бути реалізовані в мережі.
Політика безпеки - це набір завдань для компанії, правила поведінки для користувачів та адміністраторів, і вимоги до системи і управління, які в сукупності забезпечують безпеку роботи в мережі і безпеку комп'ютерних систем в організації. Політика безпеки "живий документ", це означає, що він постійно оновлюється в міру зміни вимог технологій, бізнесу, і працівників.
Наприклад, ноутбук співробітника організації буде мішенню для різних видів атак, таких як віруси електронної пошти. Політика безпеки явно визначає, як часто повинні бути встановлені поновлення антивірусного програмного забезпечення і оновлень антивірусних баз. Крім того, політика безпеки містить рекомендації щодо того, що користувачі можуть і не можуть робити. Це, як правило, визначається в політиці допустимого використання acceptable use policy (AUP). AUP має бути настільки чіткою, наскільки це можливо, щоб уникнути двозначності або непорозуміння. AUP може містити наприклад список Usenet новин, які заборонені.
У той час як політика безпеки повинна бути всеосяжною, вона також повинна бути досить короткою, щоб бути корисною для практичної реалізації в організації.
16
1.6 Самостійна робота студента
1.6.1Запитання для самоперевірки
1.Які відомі організації з безпеки мереж ви знаєте?
2.Чим ці організації можуть допомогти фахівцю з мережної безпеки?
3.Дайте визначення телефонному фрікінгу.
4.Які пункти мають міститись в Політиці безпеки організації?
1.6.2Матеріали для самостійного поглибленого вивчення теми
1.Дослідіть історію фрікінга.
2.Знайдіть в Інтернеті інструменти для зламу мереж та ознайомтеся з технологією їх використання.
3.Ознайомтеся із вмістом сайтів відомих організацій з питань мережної безпеки. Оцініть корисність послуг, що пропонують ці організації. Знайдіть сайти інших організацій, які займаються тими ж питаннями.
4.Запропонуйте політику безпеки для організації, в якій ви навчаєтесь, або працюєте.
17
ТЕМА 2. ВІРУСИ, ХРОБАКИ, ТРОЯНСЬКІ КОНІ: ТЕХНОЛОГІЇ ДІЇ ТА ПРОТИДІЇ
2.1 Віруси, хробаки і троянські коні
Основними загрозами для кінцевих пристроїв є атаки вірусів, хробаків та троянських коней:
Вірус – це шкідлива програма, яка приєднується до іншої програми для виконання певних небажаних, часто шкідливих функцій на комп'ютері.
Хробак виконує певний код і встановлює свої копії в пам'яті зараженого комп'ютера. Основне призначення хробака автоматично копіювати себе і поширювати мережею від системи до системи.
Троянський кінь – застосунок, написаний таким чином, щоб виглядати схожим на легітимну програму. Коли заражена програма або файл завантажений і відкритий, троянський кінь може атакувати кінцевий пристрій зсередини.
2.1.1 Віруси
Традиційно термін вірус визначає інфекційні організми, яким потрібна клітина-хазяїн для росту і реплікації. Студент Університету Південної Каліфорнії Фредерік Коен запропонував термін "комп'ютерний вірус" в 1983 році. Ком- п'ютерний вірус - це програма, яка може копіювати себе і заразити комп'ютер без відома користувача.
Вірус – це шкідливий код, який додається до легальних програм або файлів, які можуть виконуватися. Більшість вірусів вимагає активації зі сторони кінцевого користувача і може чекати протягом тривалого періоду, щоб потім активуватися в певний момент часу або дату. Простий вірус може встановити себе в першому рядку коду виконуваного файлу. При активації вірус може перевіряти диск на наявність інших виконуваних файлів, які ще не заражені. Віруси можуть бути нешкідливими, наприклад просто відображати картинку на екрані, або вони можуть бути руйнівними, змінювати або видаляти файли на жорсткому диску. Віруси можуть також бути запрограмовані для мутації, щоб уникнути виявлення.
У минулому віруси зазвичай поширювалися через дискети та комп'ютерні модеми. Сьогодні більшість вірусів поширюються через flash носії USB, CD, DVD, мережні ресурси, або електронною поштою. Віруси електронної пошти на даний час є найбільш поширеним типом вірусу.
2.1.2 Хробаки
Хробаки – це особливо небезпечний вид шкідливого коду. Вони відтворюють себе самостійно, використовуючи вразливості в мережах. Хробаки як правило, уповільнюють роботу мереж.
18
У той час як вірусу потрібна програма-носій для запуску, хробаки можуть працювати самі по собі. Вони не вимагають участі користувача і можуть дуже швидко поширюватися мережею.
Хробаки відповідальні за деякі з найбільш руйнівних атак в Інтернеті. Наприклад, SQL Slammer Worm у січні 2003 року сповільнив глобальний інтер- нет-трафік в результаті відмови в обслуговуванні. Роботу більше ніж 250 000 хостів було порушено протягом 30 хвилин з моменту його випуску. Хробак використовував помилку переповнення буфера в Microsoft SQL Server. Виправлення для цієї вразливості було випущено в середині 2002 року, тож постраждали ті сервери, на яких це виправлення не було встановлено. Це відмінний приклад того, чому так важливо для політики безпеки організації вимагати своєчасного встановлення оновлень та виправлень для операційних систем і застосунків.
Приклади інших хробаків, які створили проблеми через Інтернет: 1988 – Хробак Морріса
Травень 2000 - Love Bug Worm Липень 2001 - Code Red Worm Січень 2003 - SQL Slammer Worm Січень 2004 - MyDoom Worm Серпень 2005 - Zotob Worm Січень 2006 - Nyxem Worm Січень 2007 - Storm Worm Червень 2008 - JTV Worm Липень 2009 - Daprosy Worm Червень 2011 - Morto Worm
Вересень 2012 - NGRBot
Складові хробака
Незважаючи на появу методів для пом'якшення наслідків вторгнення хробаків, вони продовжують розвиватися разом з Інтернетом, та і як і раніше становлять загрозу. Хоча с плином часу хробаки стають все більш складними, як і раніше їх успіх базується на використанні слабких місць у застосунках. Більшість атак хробаків складаються з трьох основних компонентів:
Використання вразливості (Enabling vulnerability) - черв'як встановлює себе за допомогою механізму вразливості, наприклад у вигляді вкладення електронної пошти, виконуваного файлу або троянського коня, на вразливій системі.
Механізм розповсюдження (Propagation mechanism) - після отримання доступу до пристрою, хробак копіює себе і знаходить нові цілі.
Корисне навантаження (Payload) – будь-який шкідливий код призводить до певних дій. Найчастіше створюються люки на інфікованому хості.
19