- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
2. Классификация сетевых угроз
Угрозы, позволяющие несанкционированно запустить исполняемый код угрозы основываются на переполнении буфера для входных данных(переполнение стёка) и последующей передачи управления на исполняемый код, занесённый при этом в стёк. Для переполнения стёка используется тот факт, что при выполнении функций работы со строками, переменными среды исполнения и т.д. программисты не заботятся о проверки размерности входных данных. А это приводит к выходу за границы массивов ( массив - это тип данных, предназначенный для хранения и обработки с помощью индекса целого множества однотипных данных. Существуют хэш массивы, массивы скаляров и т.д.),выделенные для работы с этими данными. один из методов предотвращения - присвоение атрибута, исключающего исполнение кода страницами памяти, выделенными подстёк.
Угрозы, позволяющие осуществлять несанкционированные операции чтениязаписи. угрозы основываются на неправильной интерпретации прикладными и системными программами входных параметров. В результате они дают доступ к объектам, не перечисленными в списках санкционированного доступа. Неправильная интерпретация связанна с некорректной программной реализацией их обработки. Это происходит потому, что программы, обрабатывающие данные запросы, являются либо системными утилитами, либо прикладными программами, запущенными в контексте безопасности системы. Можно догадаться, что они имеют непосредственный доступ к любым объектам, и могут представить доступ пользователям, не обладающим достаточными правами. профилактикой таких угроз может служить ДЕТАЛЬНЫЙ аудит всех событий, которые происходили на защищаемой машине.
Угрозы, позволяющие обойти установленные разграничения прав доступа. Основываются на недоработках в ядре и системных утилитах ОС(ОС - операционная система), позволяющих программными методами обходить установленные разграничения доступа к объектам системы. Единственным решением данноё проблемы является либо установка обновлений от производителя ОС, либо проводить детальный анализ ОС самому.
Угрозы, приводящие к отказу в обслуживании (Denial of Servece (DoS) это угрозы, приводящие к отказу в обслуживании. Большую часть этой группы составляют примеры, основанные на недостаточной надёжности реализации стёка сетевых протоколов ОС. Сбои в работе достигаются путём посыла групп пакетов с некорректными заголовками, параметрами и т.д. Другой пример DoS - провокация отказа путём чрезмерной загрузкой канала. Основным параметром, которым должен владеть атакующий - каналом, шире чем у жертвы. В большинстве случаев рядовой пользователь не может позволить себе канал, по скорости больший чем у жертвы(если принять во внимание что жертва не рядовой пользователь, а сервер Интернета). Для реализации атаки на данный сервер пишется определённый скрипт (например, флудер-множитель), загружаемый на ранее взломанные сервера, и уже с их пропускной способностью начинается DoS атака. На заметку: случаи, приводящие к DoS, не нарушают безопасность атакуемой системы, а просто выводят её из строя. Но если DoS только составляющее звено атаки, то предыдущее высказывание ставится под сомнение. Чтобы защититься от такой атаки нужно банально повышать производительность системы в целом, увеличивать пропускную способность канала связи. можно использовать возможности активного сетевого оборудования, как ограничение пропускной способности, имеющейся, например, у маршрутизаторов Cisco.
Угрозы, использующие встроенные недокументированные возможности. по существу это угроза не представляющая особой опасности. можно привести примеры предоставляющие недокументированные возможности : встроенные инженерные пароли для входа в систему (пароль фирмы Award "AWARD_SW" , позволяющий получить спектр правдля работы BIOS). Специальные возможности для недокументированных действий. Закладки в разнообразных прикладных приложениях и т.д. Методы защиты от таких угроз рядовому пользователю не известны. Не имея исходный код, о них можно только догадываться. Теория 6 угрозы, использующие недостатки системы хранения или выбора данных об аутентификации. Эти угроз позволяют путём реверсирования, подбора или полного перебора пароля получить данные о аутентификации основываются на недостатках алгоритмов кодирования(хеширования) паролей на защищаемых ресурсах.
Троянские программы - это программы, которые прописываются в автозагрузку ОС, и выполняют несанкционированные действия. Для того чтобы данная программа появилась у пользователя в системе, он сам должен первоначально выполнить её. Но если троянская программа использует уязвимость ОС для проникновения внутрь (например, уязвимость RPC Dcom), то она попадёт в систему без ведома на то пользователя. Для защиты от действий подобного рода нужно придерживаться определённых правил:
1. Устанавливать все обновления выпущенные производителем ОС.
2. Иметь в системе антивирус с постоянно обновляющейся базой. Это спасёт от простейших вирусов и от неквалифицированных атакующих. Люди, занимающиеся этим делом профессионально, могут "надуть" любой антивирус без особых усилий.
3. Иметь в системе FIrewall. У самого Firewall'а достаточно много функций(фильтрование пакетов, прослушивание соединений и т.д.), но всё рассмотреть в рамках данной статьи невозможно. Firewall спасёт от многих атак, но , ещё раз повторяюсь, если человек, совершающий атаку, квалифицированный, то Firewall будет держать систему в безопасности относительно недолго.
4. Человеческий фактор. Никогда не запускайте файлы ,пришедшие вам по почте, ICQ, и т.д. от неизвестных лиц. Угрозы напрямую используют недостатки ОС и системных приложений и позволяют при полностью сконфигурированных и работающих встроенных в ОС механизмах защиты осуществлять несанкционированный доступ к информации, что подтверждает необходимость усиления встроенных механизмов защиты.