Вопрос 17. Защита от сетевых атак. Классификация мсэ.
Классификация средств сетевой защиты
В статье 274 УК 2 года тюрьмы, либо исправительные работы, либо отстранение от деятельности.
Административные методы защиты от сетевых атак:
1) Защита от анализа сетевого трафика. Основными средствами защиты IP пакетов, входящих за пределы сети (IPSec). Защита конкретных информационных ресурсов с помощью встроенных средств в приложение (SSL, Opop);
2) Защита от ложного ARP-сервера (ARP-spoofing). Основные методы защиты – это создание статической ARP-таблицы в виде файла, куда необходимо занести всю необходимую информацию о нужных IP и МАС адресах;
3) Защита от ложного DNS сервера. Внутри локальной сети для защиты можно установить внутренний DNS-сервер, который содержал бы статические записи о наиболее критичных посещаемых узлом сети Интернет;
4) Защита от DOS-атак. Основной метод защиты – использовать как можно более мощные компьютеры. На критичных узлах сети. Защищенная сетевая ОС.
Программно-аппаратные методы защиты от удаленных атак
1) Аппаратные шифраторы сетевого трафика;
2) Использование межсетевых экранов, как программных, так и программно-аппаратных;
3) Защищенные сетевые криптопротоколы;
4) Программно-аппаратный анализатор сетевого трафика;
5) Защищенная сетевая ОС;
6) Защищенные системы аутентификации сетевых ресурсов (Керберс).
Классификация и определение политики МСЭ
Firewall, брандмауэр.
МСЭ представляют основное устройство сетевой защиты. МСЭ может анализировать содержимое пакетов любого уровня из модели ТСР/IP,это позволяет осуществить более точную настройку его политики. Может поддерживать дополнительные сервисы – это трансляция сетевых адресов (NAT), функция прокси-сервера, поддержка протокола DHCP (динамическая конфигурация хостов), быть конечной точкой UPN шлюза.
1) Пакетные фильтры. Является простейшим МСЭ, составной частью устройств маршрутизации, которые управляются на уровне сетевых адресов и коммуникационных сессий.
Анализируется следующее информационное содержание в заголовке сетевого и транспортного уровней:
Адрес источника;
Адрес назначения;
Тип сессии или сетевой протокол, используемый для взаимодействия систем;
Характеристики коммуникационных сессий (номера портов);
Информация об интерфейсе роутера, с которого пришел пакет;
Информация, характеризующая направление;
Свойства, относящиеся к созданию log-ов для данного пакета.
Основное место сетевой инфраструктуры, в которой устанавливается пакетный фильтр, является пограничный роутер.
«+»:
1) Скорость работы, т.к. количество анализируемой информации минимально;
2) пакетный фильтр прозрачен для пакетов и серверов, т.к. не разрывает сетевые соединения.
«-»:
1) невозможность предотвратить атаки, использующие уязвимости приложений»
2) ограниченная информация для ведения логов;
3) нет возможности аутентификации пользователя;
4) уязвимы для атак подмены IP адреса;
5) сложности конфигурации.
Пример политики для пакетного фильтра
Для каждого правила политики возможно указание следующих видов деятельности:
1) ACCEPT, ALLOW, PASS - разрешение
Пакет, попадающий под это правило, Firewall пропускает, при этом может происходить создание лога или нет.
2) Deny – пакет, попадающий под это правило, возвращается без передачи, при этом источнику возвращается сообщение об ошибке, типа HOST UNREACHABLE или DESTINATION UNREACHABLE, при этом создание лога производится или нет.
3) DISCARD, BLOCK, UNREACH. Firewall отбрасывает пакет, попадающий под это правило, и не возвращает сообщение об ошибке источнику, т.е. Firewall не обнаруживает себя для внешней стороны, лог создается или нет.
Адрес источника |
Порт источника |
Адрес получателя |
Порт получателя |
Действия |
192.168.1.2 |
Any |
Any |
Any |
Allow |
Any |
Any |
192.168.1.2 |
>1023 |
Allow |
192.168.1.1 |
Any |
Any |
Any |
Deny |
Any |
Any |
192.168.1.1 |
Any |
Deny |
Any |
Any |
192.168.1.3 |
80 |
Allow |
Any |
Any |
192.168.1.4 |
25 |
Allow |
Any |
Any |
Any |
Any |
Deny |
МСЭ транспортного уровня – инспекторы состояний (State Full Inspection)
Данные МСЭ проверяют факт, является ли пакет запроса на соединение, либо передает данные, относящиеся к уже установленному соединению.
Для проверки МСЭ исследует каждое установленное соединение и запрещает передачу любых пакетов до завершения рукопожатия. Он формирует специальную таблицу состояний, в которой содержится следующая информация:
Идентификатор сеанса;
Состояние соединения;
Последовательная информация (порядковый номер октетов);
Адрес источников и получателей;
Номера портов, участвующих в сеансе;
Физический интерфейс, откуда прибыл пакет;
Физический интерфейс, куда отправляется пакет;
Временные метки начала сеанса и т.д.
«+»:
Разрешает прохождение пакетов только для установленных соединений;
Возможность запрещения установки соединения с определенными хостами;
При использовании механизма NAT трансляции адресов, скрываются внутренние IP;
Является прозрачным для клиента-сервера, не разрывая ИСР соединение.
«-»:
Невозможно ограничить доступ протоколов, отличных от ТСР;
Не осуществляется проверка протоколов высокого уровня;
Ограничен аудит (log) для передаваемого трафика.
МСЭ прикладного уровня Proxy Server
Такие МСЭ бывают двух видов:
Универсальные, позволяющие контролировать прикладной уровень большинства приложений;
Выделенные, позволяющие обеспечить защиту конкретного приложения.
Большинство МСЭ позволяет оценивать сетевой пакет на соответствие определенному прикладного уровню перед установлением соединения.
Обычно они включают в себя:
Отдельные службы proxy для каждого протокола прикладного уровня. Это позволяет анализировать множество команд для каждого протокола и производить анализ данного протокола.
«+»:
Proxy server может запросить отдельно аутентификацию пользователя для каждой прикладной службы, причем аутентификация происходит как по адресу узла источника, так и с помощью ПД пользователя;
Позволяет анализировать вест сетевой пакет и обнаруживать уязвимости, специфичные для конкретного приложения;
Возможна фильтрация данных или контекста, передаваемых в пакете;
Более подробные логии.
«-»:
Требуется много времени для чтения и интерпретации каждого пакета, т.е. не пригодно для приложения реального времени;
Не является прозрачным для клиентов, т.е. требуется изменить конфигурацию приложения.