Раздел: Сетевая безопасность

1.Обнаружение атак на сетевом уровне

Сигнатуры атак – известные части IP пакетов.

1. Известные атаки

2. Контроль частоты каких-либо событий

3. Связь или корреляция нескольких событий друг с другом

Т.е. сначала вызывается

4. Набор статистики (обнаружение статистических аномалий)

2. Обнаружение атак на системном уровне

1. Анализ логов файлов

2. Варианты искусственного интеллекта // если обнаружено подозрительное сообщение данного уровня, то выдается сообщение об ошибке.

Преимущества систем обнаружения атак на сетевом уровне:

1. Низкая эксплуатация

2. Обнаружение атак, которые пропускаются на системном уровне

3. Сложности в заметании следов атаки

4. Реагирование в режиме реального времени

5. Обнаружение неудавшихся атак

6. Независимость от операционной системы

Преимущества систем обнаружения атак на системном уровне:

1. Подтверждение

2. Контролирует деятельность конкретного узла на сети (вытаскивание вирусов (Троянов))

3. Обнаружение атак, которые пропускаются на сетевом уровне

4. Хорошо работают в сетях с шифрованием.

Если передаем зашифрованное сообщение, то в поле протокола возникает сообщение об этом

5. Не требует дополнительных аппаратных средств

6. Низкая цена ($10000) // amazon.com

Статистика самых распространенных атак

30% - ОС Windows (атаки на компьютер)

20% - Атаки на сетевые средства (Хабы, маршрутизаторы, коммутаторы )

4% - Атаки связанные со сканированием (сканирование уявиимых мест компьютера)

5% - Атаки на межсетевые экраны (Fire Wall)

Классификация атак

1. Удаленное проникновение в компьютер

2. Локальное проникновение в компьютер («Троян-конь»)

3. Удаленное блокирование компьютера (не может выйти в сеть)

4. Локальное блокирование компьютера (блокирование некоторых функций, компьютер выходит из строя на некоторое время)

5. Сетевые сканеры, сетевые анализаторы (сниферы). Эти программы слушают и анализируют сетевой трафик.

6. Сканеры уязвимых мест программ (IIS: есть команды PUT и GET, можно получить доступ не имея его)

7. Вскрыватели паролей.

Пароль из одного слова (10 символов) подбирается за несколько мин.

10 символов + 2 или 3 цифры – меньше часа

2 слова по 10 символов – сутки

Если распараллелить перебор на несколько машин, то расшифровка произойдет очень быстро.

Рекомендации:

1. Использовать и русские и латинские буквы, цифры, ([]), * , другие символы, не писать осмысленных фраз.

2. Наложить ограничения на доступ к терминалу

3. Наличие системного администратора

Психологические методы доступа

1. Звонок администратору: «Я пользователь, я забыл пароль» . В большинстве случаев высылают (особенно на больших предприятиях, где трудно знать всех служащих).

2. Звонок пользователю

• «Я администратор, у нас упала БД с паролями, введите его снова »

• «Я администратор RADE.ru введите имя, пароль и отправьте по такому - то адресу»

Нельзя имя пользователя и пароль хранить в КЭШЕ ,а в БД, следовательно нужно в настройках убрать флажек «хранить имя и пароль в КЭШЕ»

Средства защиты компьютерных сетей

1. Обновление версий программ и скачивание закладок (PATCH)

2. Наличие на компьютере антивирусов, программ (DR.WEB, KAV (сканер и адаптер))

3. Межсетевые экраны (Fire Wall)

Программы, где можно отфильтровать трафик (Out Post Fire Wall)

4. Ограничение на доступ к системе

Чтобы подобрать пароль из трех символов надо зайти 2³ раз. Если к вам заходят, вы этио увидите, т.е. можно сделать : заход 3 раза, потом блокировка на 0.5 часа (Out Post Fire Wall)

5. Обязательное шифрование

FTP, TELNET – закрыть или сделать доступ по SSH,этот протокол шифрует трафик TCP/IP

6. Грамотное администрирование машины

7. Dial – Vp вход на машину (с модема, если он не нужен, то убрать)

8. Системы обнаружения атак на сетевом уровне (анализируется весь трафик полностью)

9. Административные меры организации для проведения политики безопасности.

Выводить пакеты на экран и анализировать их Пример дан на VC++1.0

# include<conio.h>

# include<stdio.h>

# include<winsock2.h>

char Buffer [1000]; //массив ограничен только виртуальной памятью

typedef stud IP //определяем тип пакета

{

UCHAR verlen; //версия и длина заголовка

UCHAR tos; //тип сервера

USHORT len; //длина всего пакета

USHORT id; //идентификатор пакета

USHORToffset; //смещение

UCHAR ttl; //время жизни пакета от 0 до 255

UCHAR protocol; //тип протокола

USHORT xsum; //контрольная сумма 2 байта, 0-65535

ULONG src; //источник

ULONG dest; //назначение

}

// Далее идет функция main

Voidmain()

WSADATAwsadata//переменная необходимая для инициализации сокетов вWindows

SOCKETS;

HOSTENT*phe; //расширенная информация о хосте

SOCKADDR_INSa; //адрес хоста

IN_ADDRSa1; //дополнительный адрес хоста

//еще нужны рабочие переменные

charname[128]; //в скобках количество байт

charsir[10]; //адрес отправителя

chardest[10]; //адрес получателя

charflag=1; //флаг отвечающий за режим прослушивания сети.

chards[10]; //хранится какая-то адресная информация

Инициализация сокета:

WSAStartup(MAKEWORD(2,2), &wsadata); //функция делает слово в специальном формате

S=SOCKET(AF_INET,SOCK_ROW,IPPROTO_TP); //AF– константа,говорит о том что сокет будет работать с Интернетом именами.SOCK_ROW- создает сокет.

IPPROTO_TP– отвечает за то что пакет выкидывать не надо, нужно сохранить.

Gethostname(name, 128); //положить имя текущего хоста в переменнуюname

Phe=gethostbyname(name);

Sa.sin_family=AF_INET;

Sa.sin_addr=((stmet in_addr*)pheh_addr_list[0])S_addr; //берем адрес первого интерфейса платы сети.

//Присоединяем сокет к нашему адресу

bind(s,

(sockaddr*)&Sa,

sizof(sockaddr));

toctlsocket//функция контроля

(S,Sio_RCVALL,

&flag

promiscuous//режим прослушивания

while(!kbhit()){ //слушаем бесконечно пока не нажали кнопку

intcount=rear(S,Buffer, 1000,0); //принимаем из сокета в буфер

if(count>=sizof(IP)){ //пришли ли данныеIPпакета определенного

IP*hdr=(IP*)buffer; размера, если да то резервируем переменную.

Sa1.S_addr=hdrsrc;

Printf(“From%S^,inet_ntoa(s1)); //адрес отправителя мы получили

Теперь адрес получателя то же самое, только вместо srcзаменить наdect.

Какой протокол был передан?

Switch(ndrprotocol){

Case IPPROTO_UDP:

‘printf(“UDP”);

break;

………..

};

Время жизни пакетов, можно узнать о загруженности пакетов в сети и о потере пакетов.

Printf(“TTLi%S”

Itod(hdrttl,” ”,0));

Можно узнать размер пакета, в сети принят прямой порядок байт

USHORT data = (hdrlen>>8)+

(hdrlen<<8);

printf(“%S”,itod(data,” ”, 0)); //распределение пакетов в сети по размера