Мережева безпека
Безпека мережі - заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів.
Фішинг — це схема, за якої хакери змушують користувачів передавати конфіденційну інформацію, наприклад паролі та номери соціального страхування. Вона зазвичай передбачає надсилання повідомлення спаму, яке справляє враження, ніби походить із довіреного джерела, наприклад із банку (це наживка). У повідомленні спаму міститься посилання на шахрайський веб-сайт, що видається за довірене джерело (це пастка). Користувач, нічого не підозрюючи, вводить інформацію, яка цікавить хакерів, вважаючи, що перебуває на сайті, який заслуговує на довіру.
Як розпізнати фішинг-атаку
DoS-атаки поділяються на локальні і віддаленні. До локальних відносяться різні експлойти, форк-бомби і програми, що відкривають по мільйону файлів або запускають якийсь циклічний алгоритм, який зжирає пам'ять і процесорні ресурси. Віддалені DoS-атаки посилає на адресу жертви величезної кількості безглуздих (рідше – осмислених) пакетів. Метою флуда може бути канал зв'язку або ресурси машини. У першому випадку потік пакетів займає весь пропускний канал і не дає машині, що атакується, можливість обробляти легальні запити. У другому - ресурси машини захоплюються за допомогою багатократного і дуже частого звернення до якого-небудь сервісу, що виконує складну, ресурсоємну операцію. Це може бути, наприклад, тривале звернення до одного з активних компонентів (скрипту) web-сервера. Сервер витрачає всі ресурси машини на обробку запитів що атакує, а користувачам доводиться чекати.
Для виявлення багатьох типів атак нам потрібно виконувати поглиблену перевірку пакетів - аналізувати не лише поля заголовків, а й дані додатків, що містяться у пакеті. Шлюзи додатків можуть виконувати дану операцію, проте вони вирішюють цю задачу лише для конкретного додатку.
Система виявлення вторгнень (СВВ, IDS – Intrusion Detection System) – програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу (втор- гнення або мережевої атаки) в комп’ютерну систему або мережу [3]. Системи виявлення вторгнень за- безпечують виявлення:
- мережеві атаки проти вразливих сервісів; атаки спрямовані на підвищення прав корис- тувачів;
- неавторизований доступ до важливих файлів;
- дії шкідливого програмного забезпечення (комп’ютерних вірусів, троянів і черв’яків). Використання СВВ допомагає досягнути такі цілі:
- виявити вторгнення або мережеві атаки;
- забезпечити належний контроль якості адміні- стрування, особливо у великих і складних мережах;
- спрогнозувати можливі майбутні атаки і ви- явити вразливості для запобігання їх подальшого розвитку;
- отримати корисну інформацію про проник- нення, для відновлення і налаштування конфігура- ції мережі;
- визначити розташування джерела атаки по ві- дношенню до локальної мережі (зовнішні або внут- рішні атаки).
Впровадження в комп'ютери шкідливих програм
Через мережу впроваджуються мкідливі програми, до яких належать троянські, шпигунські програми, черв'яки, віруси, спам, та інші типи програм, націлені на порушення інформаційної безпеки. Початкове призначення цих програм полягає в тому, щоб дати адміністраторам мережі можливість стежити за мережевим трафіком, зокрема захоплювати пакети, використовуючи механізм фільтрації, переглядати їх вміст, збирати статистику по завантаженні пристроїв.
Через мережу впроваджуються мкідливі програми, до яких належать троянські, шпигунські програми, черв'яки, віруси, спам, та інші типи програм, націлені на порушення інформаційної безпеки. Початкове призначення цих програм полягає в тому, щоб дати адміністраторам мережі можливість стежити за мережевим трафіком, зокрема захоплювати пакети, використовуючи механізм фільтрації, переглядати їх вміст, збирати статистику по завантаженні пристроїв.
Сніфери пакетів - являють собою прикладну програму, яка використовує мережеву карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки). При цьому сніффер перехоплює усі мережні пакети, які передаються через певний домен. В даний час сніффери працюють в мережах на цілком законній підставі. Вони використовуються для діагностики несправностей і аналізу графіка.
Як розпізнати фішинг-атаку
Практично кожен день з'являються нові схеми шахрайства. Більшість людей може самостійно навчитися розпізнавати шахрайські повідомлення, познайомившись з їх деякими відмітними ознаками. Найчастіше фішингові повідомлення містять:відомості, що викликають занепокоєння, або загрози, наприклад, закриття призначених для користувача банківських рахунків;обіцянки величезного грошового призу з мінімальними зусиллями або зовсім без них;
запити про добровільні пожертвування від імені благодійних організацій;ненавмисні граматичні, пунктуаційні та орфографічні помилки, що видають підробку;умисні граматичні, орфографічні або фактологічні помилки в даних, що стосуються користувача і провокують бажання виправити їх;імітацію пошкодженого або неправильно кодуванні;адреса неіснуючого
поштової скриньки, зазначеного в якості адреси відправника.
Відмова в обслуговуванні
DDoS- атака (Distributed Denial of Service) являє собою дії зловмисників , спрямовані на те , щоб паралізувати роботу будь-якого серверу або конкретного веб- ресурсу. Дії полягають у наступному: зловмисник запускає спеціальну програму , яка створює величезне число помилкових запитів по відношенню до конкретного сервера . Дані запити можуть бути з усіх куточків земної кулі , причому , як правило , з використанням IP користувачів , які зовсім не підозрюють про те , що їх IP використовують у своїх цілях « редиски» ( нехороші люди J) . Простіше кажучи , на сервер – жертву обрушується одночасно кілька тисяч запитів , які він не в силах обробити .
Способи виявлення мережевих атак
Брандмауер — це програма або пристрій, який перевіряє дані, що надходять з Інтернету або мережі, та на основі поточних параметрів приймає рішення, потрібно їх пропускати чи ні. Таким чином, брандмауер запобігає доступу до вашого комп’ютера хакерів і зловмисних програм. Брандмауер Windows вбудований у систему Windows та вмикається автоматично. Брандмауер – це захисна стіна, що стоїть між мережним адаптером та операційною системою. Будь-який IP-пакет, перш ніж потрапити на обробку операційної системи (наприклад, для маршрутизації або передачі його web-серверу) проходить через строгий контроль. Будь-який вихідний пакет також натрапляє на цю стіну, і може бути пропущений, відкинутий, підрахований або змінений. Якщо пакет проходить через операційну систему наскрізь (маршрутизується), то його перевірка відбувається як на вході, так і на виході. При складній обробці пакету він може проходити через брандмауер і більшу кількість разів. Брандмауер дозволяє заборонити доступ до певних портів системи, з певних хостів або по деяких протоколах. Він може запобігти переважній більшості атак, пропускаючи тільки ті пакети, які адміністратор визнав допустимими. За допомогою брандмауера можна робити дві речі. По-перше, фільтрувати пакети по заданих критеріях і, по-друге, вести облік, зберігаючи статистичну інформацію про використання системи, стежачи за тим, які об'єми інформації і звідки надходять.
Фільтри, які враховують стан з'єднання
Дані фільтри відстежують ТСР-з'єднання і виконують фільтрацію на основі цієї інформації. Всі поточні ТСР-з'єднання відстежуються в спеціальній таблиці з'єднань. Якщо ж вхідний пакет не буде відноситись до поточних з'єднань, то він буде відкинутий брандмауером.
Дані фільтри відстежують ТСР-з'єднання і виконують фільтрацію на основі цієї інформації. Всі поточні ТСР-з'єднання відстежуються в спеціальній таблиці з'єднань. Якщо ж вхідний пакет не буде відноситись до поточних з'єднань, то він буде відкинутий брандмауером.
Брандмауер має змогу фіксувати створення нового з'єднання, закінчення з'єднання, та перевірити активність з'єднання.
Шлюз додатків
Для забезпечення більш адресної безпеки, брандмаузери повинні комбінувати при роботі пакетні фільтри та шлюзи додатків. Шлюз додатків переглядає не лише загаловки, але й приймає рішення щоод дотримання політки на основі данного прикладного рівня. Шлюз додатків - це сервер, що працює на прикладному рівні, і через цей шлюз мають протікати всі дані додатків (вхідні і вихідні). На одному хості може працювати одразу декілька шлюзів додатків, проте кожний шдюз - це самостійний сервер з власним набором процесів.
Шлюз додатків
Для забезпечення більш адресної безпеки, брандмаузери повинні комбінувати при роботі пакетні фільтри та шлюзи додатків. Шлюз додатків переглядає не лише загаловки, але й приймає рішення щоод дотримання політки на основі данного прикладного рівня. Шлюз додатків - це сервер, що працює на прикладному рівні, і через цей шлюз мають протікати всі дані додатків (вхідні і вихідні). На одному хості може працювати одразу декілька шлюзів додатків, проте кожний шдюз - це самостійний сервер з власним набором процесів.
Для виявлення багатьох типів атак нам потрібно виконувати поглиблену перевірку пакетів - аналізувати не лише поля заголовків, а й дані додатків, що містяться у пакеті. Шлюзи додатків можуть виконувати дану операцію, проте вони вирішюють цю задачу лише для конкретного додатку.
- мережеві атаки проти вразливих сервісів; атаки спрямовані на підвищення прав корис- тувачів;
- неавторизований доступ до важливих файлів;
- дії шкідливого програмного забезпечення (комп’ютерних вірусів, троянів і черв’яків). Використання СВВ допомагає досягнути такі цілі:
- виявити вторгнення або мережеві атаки;
- забезпечити належний контроль якості адміні- стрування, особливо у великих і складних мережах;
- спрогнозувати можливі майбутні атаки і ви- явити вразливості для запобігання їх подальшого розвитку;
- отримати корисну інформацію про проник- нення, для відновлення і налаштування конфігура- ції мережі;
- визначити розташування джерела атаки по ві- дношенню до локальної мережі (зовнішні або внут- рішні атаки).
Wireshark - продукт з відкритим початковим кодом, поширюваний на підставі ліцензії GPL. Його можна використовувати на будь-якій кількості комп'ютерів, не побоюючись за введення ліцензійних ключів, продовження ліцензії і інші неприємні заходи. Тому співтовариству дуже легко додавати в нього підтримку нових протоколів у вигляді плагінів або безпосередньо ушити її в початковий код.
Перехоплення трафіку мережевого інтерфейсу в режимі реального часу. Wireshark може перехоплювати трафік різних мережевих пристроїв, відображуючи його ім'я (включаючи безпровідні пристрої). Подтримка того або іншого пристрою залежить від багатьох чинників, наприклад від операційної системи.
Підтримка множини протоколів (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, Xll, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG і інші).
Збереження і відкриття раніше збереженого мережевого трафіку.
Імпорт і експорт файлів з інших пакетних аналізаторів. Wireshark може зберігати перехоплені пакети у велику кількість форматів інших пакетних аналізаторів, наприклад: libpcap, tcpdump. Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor, AIX's iptrace.
-Дозволяє фільтрувати пакети по множині критерій.
-Дозволяє шукати пакети по множині критерій.
-Дозволяє підсвічувати захоплені пакети різних протоколів.
-Дозволяє створювати різноманітну статистику.
Microsoft Network Monitor - Утиліта для аналізу мережевого трафіку: дозволяє захоплювати мережевий трафік, переглядати і аналізувати його. Моніторинг можна проводити в реальному часі або, перехвативши і зберегти мережевий трафік, аналізувати його пізніше. Збережені данні можуть бути використані для усунення неполадок в локальних та розподілених мережах.
Онсновні типи застосування: пошук несправностей у мережевих з'єднаннях, оцінка мережевої продуктивності.
Онсновні типи застосування: пошук несправностей у мережевих з'єднаннях, оцінка мережевої продуктивності.
Комментарии
Отправить комментарий