- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Типы ids
- •Архитектура ids
- •Совместное расположение Host и Target
- •Разделение Host и Target
- •Ids, реакция которых происходит через определенные интервалы времени (пакетный режим)
- •Real-Time (непрерывные)
- •Информационные источники
- •Анализ, выполняемый ids
- •Определение злоупотреблений
- •Определение аномалий
- •Возможные ответные действия ids
- •Активные действия
- •Сбор дополнительной информации
- •Изменение окружения
- •Выполнение действия против атакующего
- •Пассивные действия
- •Тревоги и оповещения
- •Использование snmp Traps
- •Возможности отчетов и архивирования
- •Возможность хранения информации о сбоях
- •Дополнительные инструментальные средства
- •Системы анализа и оценки уязвимостей
- •Процесс анализа уязвимостей
- •Классификация инструментальных средств анализа уязвимостей
- •Host-Based анализ уязвимостей
- •Network-Based анализ уязвимостей
- •Преимущества и недостатки систем анализа уязвимостей
- •Способы взаимодействия сканера уязвимостей и ids
- •Проверка целостности файлов
- •Системы Honey Pot и Padded Cell
- •Выбор ids
- •Определение окружения ids
- •Технические спецификации окружения систем
- •Технические спецификации используемой системы безопасности
- •Цели организации
- •Возможность формализации окружения системы и принципы управления, используемые в организации
- •Цели и задачи использования ids
- •Защита от внешних угроз
- •Защита от внутренних угроз
- •Возможность определения необходимости обновления
- •Существующая политика безопасности
- •Структурированность
- •Описание функций, выполняемых пользователями системы
- •Реакция на нарушения политики
- •Развертывание ids
- •Стратегия развертывания ids
- •Развертывание network-based ids
- •Позади внешнего firewall’а в dmz-сети (расположение 1)
- •Стратегии оповещения о тревогах
- •Сильные стороны и ограниченность ids
- •Сильные стороны ids
- •Ограничения ids
- •Обработка выходной информации ids Типичные выходные данные ids
- •Выполняемые ids действия при обнаружении атаки
- •Компьютерные атаки и уязвимости, определяемые ids
- •Типы атак
- •Типы компьютерных атак, обычно определяемые ids
- •Атаки сканирования
- •Flooding DoS-атаки
- •Атаки проникновения
- •Удаленные vs. Локальные атаки
- •Атака авторизованного пользователя
- •Атаки публичного доступа
- •Определение расположения атакующего на основе анализа выходной информации ids
- •Чрезмерная отчетность об атаках
- •Соглашения по именованию атак
- •Уровни важности атак
- •Типы компьютерных уязвимостей
- •Ошибка корректности входных данных
- •Переполнение буфера
- •Ошибка граничного условия
- •Ошибка управления доступом
- •Исключительное условие при обработке ошибки
- •Ошибка окружения
- •Ошибка конфигурирования
- •Race-условие
- •Будущие направления развития ids
Flooding DoS-атаки
Flooding-атаки посылают системе или компоненту системы больше информации, чем она может обработать. В случаях, когда атакующий не может послать системе достаточно информации для подавления ее возможностей обработки, он может попытаться монополизировать сетевое соединение к цели и посредством этого запретить доступ всякому, кому требуется ресурс. При таких атаках не создается шквала на целевой системе.
Термин "распределенная DoS-атака" (DDoS) означает подмножество DoS-атак. DDoS-атаки являются простыми flooding DoS-атаками, когда атакующий использует несколько компьютеров для запуска атаки. Эти компьютеры обычно управляются компьютером атакующего и, таким образом, действуют как единая огромная атакующая система. Атакующий обычно не может нанести вред большому сайту электронной коммерции с помощью наводнения сетевыми пакетами с единственного хоста. Однако, если он получит управление над 20 000 хостами и взломает их таким образом, чтобы заставить их выполнять атаку под своим управлением, то он может получить достаточно средств для успешной атаки на самые большие системы.
Атаки проникновения
Атаки проникновения включают неавторизованное приобретение и/или изменение системных привилегий, ресурсов или данных. Будем воспринимать эти нарушения целостности и управляемости как противоположность DoS-атакам, которые нарушают доступность ресурсов, и атакам сканирования, которые не делают ничего незаконного. Атака проникновения может получить управление над системой, используя различные изъяны ПО. Наиболее общие изъяны и последствия для безопасности каждого из них перечислены ниже.
Хотя атаки проникновения очень различаются как в деталях осуществления, так и по воздействию на атакуемую систему, наиболее общие типы следующие:
User to Root. Локальный пользователь на хосте получает полное управление над целевым хостом.
Remote to User. Атакующий по сети получает доступ к пользовательскому аккаунту на целевом хосте.
Remote to Root. Атакующий по сети получает полное управление на сетевом хосте.
Remote Disk Read. Атакующий по сети получает возможность читать файлы данных на целевом хосте без выполнения авторизации.
Remote Disk Write. Атакующий по сети получает возможность записывать в файлы данных на целевом хосте без выполнения авторизации.
Удаленные vs. Локальные атаки
DoS-атаки и атаки проникновения имеют два варианта: локальный и удаленный.
Атака авторизованного пользователя
Атаки авторизованного пользователя – это те атаки, при которых атакующий имеет возможность войти в целевую систему под законным пользовательским аккаунтом. Большинство атак авторизованного пользователя означают некоторый способ расширения привилегий.
Атаки публичного доступа
Атаки публичного доступа представляют собой атаки, которые запускаются без использования какого-либо аккаунта или возможности привилегированного доступа на целевой системе, — они запускаются удаленно через сетевое соединение, используя только публичный доступ, предоставленный целевой системой.
Одна типичная стратегия атаки состоит в использовании атаки публичного доступа для получения начального доступа в систему. Затем, уже в системе, атакующий использует атаки авторизованного пользователя для получения полного управления целью.