ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Безпека мереж на базі TCP / IP
         

     

    Інформатика, програмування

    Московський державний інститут електроніки та математики.

    кафедра ЕВА

    Реферат на тему:

    "Безпека мереж на базі TCP/IP"

    Москва 1999 Безпека мереж на базі сімейства протоколів TCP/IP

    У цій роботі безпека мереж на базі сімейства протоколів TCP/IP буде розглянута на прикладі мережі Internet, інформаційна безпека якої в значною мірою визначається цими протоколами.

    Через обмеженість обсягу цієї роботи механізми реалізації атак не будуть розглянуті у всіх подробицях, тому що це досить велика тема і для цього є спеціальна література, посилання на яку наведено в кінці. Дана робота представляє собою огляд найбільш поширених атак, заснованих на особливостях протоколів, з описом причин, по яким вони можливі, і описом способів усунення вразливостей. Також у роботі порушені теми, що не мають безпосереднього відношення до протоколів TCP/IP, але не менш важливі з точки зору безпеки мережі Internet.

    Далі будуть розглянуті типові атаки, але спочатку треба дати декілька загальних визначень і розглянути класифікацію загроз безпеки. Крім того, слід помітити, що по статистиці руйнування даних в обчислювальних системах частіше всього відбувається не через діяльність зломщиків, помилок в програмах або дій вірусів (17%) або технічних відмов (16%), а через помилки і несанкціоновані дії користувачів (67 %).

    Спочатку коротко розглянемо особливості сімейства протоколів TCP/IP і мереж на його основі.

    Отже, стек протоколів TCP/IP включає в себе:

    o IP (Internet Protocol) - міжмережевий протокол, який забезпечує транспортування без додаткової обробки даних з однієї машини на іншу;

    o UDP (User Datagram Protocol) - протокол призначених для користувача датаграм, що забезпечує транспортування окремих повідомлень за допомогою IP без перевірки помилок;

    o TCP (Transmission Control Protocol) - протокол управління передачею, що забезпечує транспортування за допомогою IP з перевіркою встановлення з'єднання;

    o ICMP (Internet Control Message Protocol) - міжмережевий протокол управління повідомленнями, який відповідає за різні види низькорівневою підтримки протоколу IP, включаючи повідомлення про помилки, сприяння в маршрутизації, підтвердження в отриманні повідомлення;

    o ARP (Address Resolution Protocol) - протокол перетворення адрес, що виконує трансляцію логічних мережевих адрес в апаратні;

    Кожен комп'ютер, що підключається до Internet, отримує свій унікальний IP-адресу.

    Основні поняття комп'ютерної безпеки

    Загроза безпеки комп'ютерної системи - це потенційно можлива подія, яка може надати небажаний вплив на саму систему, а також на інформацію, що зберігається в ній.

    Вразливість комп'ютерної системи - це деяка її невдала характеристика, яка робить можливим виникнення загрози.

    Нарешті, атака на комп'ютерну систему - це дії, що робляться зловмисником, яка полягає у пошуку та використанні тієї або іншої уразливості.

    Дослідники зазвичай виділяють три основних види загроз безпеки - це загрози розкриття, цілісності та відмови в обслуговуванні.

    Загроза розкриття полягає тому, що інформація стає відомою тому, кому не варто було б її знати. Іноді замість слова "розкриття" використовуються терміни "крадіжка" або "витік".

    Загроза цілісності включає в себе будь-яке умисне зміна даних, що зберігаються в обчислювальній системі чи передаються з однієї системи в іншу. Зазвичай вважається, що загрозу розкриття схильні більшою мірою державні структури, а загрозу цілісності - ділові або комерційні.

    Загроза відмови в обслуговуванні виникає кожного разу, коли в результаті певних дій блокується доступ до деякого ресурсу обчислювальної системи. Реально блокування може бути постійним, так щоб запитуваний ресурс ніколи не було отримано, або воно може викликати тільки затримку запитуваного ресурсу, досить довгу для того, щоб він став непотрібним. У таких випадках кажуть, що ресурс вичерпаний.

    У локальних обчислювальних системах (НД) найбільш частими є загрози розкриття і цілісності, а в глобальних на перше місце виходить загроза відмови в обслуговуванні. Особливості безпеки комп'ютерних мереж

    Основною особливістю будь-якої мережевої системи є те, що її компоненти розподілені в просторі і зв'язок між ними фізично здійснюється за допомоги мережевих з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.) і програмно за допомогою механізму повідомлень. При цьому всі керуючі повідомлення та дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевим з'єднанням у вигляді пакетів обміну.

    Мережні системи характерні тим, що, поряд з звичайними (локальними) атаками, що здійснюються в межах однієї комп'ютерної системи, до них застосуємо специфічний вид атак, обумовлений розподілу ресурсів і інформації у просторі. Це так звані мережеві (або віддалені) атаки (remote або network attacks). Вони характеризуються, по-перше, тим, що зловмисник може знаходитися за тисячі кілометрів від атакується об'єкта, і, по-друге, тим, що нападу може піддаватися не конкретний комп'ютер, а інформація, що передається по мережевим з'єднанням. З розвитком локальних і глобальних мереж саме віддалені атаки стають лідируючими як по кількості спроб, так і по успішності їх застосування і, відповідно, забезпечення безпеки ПС із точки зору протистояння віддаленим атакам набуває першорядного значення. Класифікація комп'ютерних атак

    Форми організації атак досить різноманітні, але в цілому всі вони належать до однієї з наступних категорій:

    Віддалене проникнення в комп'ютер: програми, які отримують неавторизований доступ до іншого комп'ютера через Інтернет (або локальну мережу);

    Локальне проникнення в комп'ютер: програми, які отримують неавторизований доступ до комп'ютера, на якому вони працюють;

    Віддалене блокування комп'ютера: програми, які через Інтернет (чи мережу) блокують роботу всього віддаленого комп'ютера чи окремої програми на ньому;

    Локальне блокування комп'ютера: програми, які блокують роботу комп'ютера, на якому вони працюють;

    Мережеві сканери: програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп'ютерів і програм, що працюють на них, потенційно уразливі до атак;

    Сканери вразливих місць програм: програми, перевіряють великі групи комп'ютерів в Інтернет у пошуках комп'ютерів, уразливих до того чи іншого конкретного виду атаки;

    Вскривателі паролів: програми, які виявляють легко вгадувані паролі в зашифрованих файлах паролів;

    Мережеві аналізатори (sniffers): програми, які слухають мережевий трафік. Часто в них є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт з трафіка;

    Модифікація даних, що передаються чи підміна інформації;

    Підміна довіреного об'єкта розподіленої ВС (робота від його імені) чи хибний об'єкт розподіленої ВС (РВС).

    Соціальна інженерія - несанкціонований доступ до інформації інакше, ніж взлом програмного забезпечення. Мета - обхитрити людей для отримання паролів до системи чи іншої інформації, яка допоможе порушити безпеку системи; Статистика найпоширеніших атак

    У 1998 році NIST (http://csrc.nist.gov/) проаналізував 237 комп'ютерних атак, інформація про які була опублікована в Інтернет. Цей аналіз дав наступну статистику:

    29% атак були організовані з-під Windows.

    Висновок: Не варто вважати небезпечною тільки Unix. Зараз настав час атак типу "вкажи і кликни". Доступність в мережі програм для злому дозволяє користуватися ними навіть нічого не компетентними людьми. В майбутньому, ймовірно, цей відсоток буде рости.

    в 20% атак атакуючі змогли віддалено проникнути в мережеві елементи (маршрутизатори, комутатори, хости, принтери та міжмережеві екрани).

    Висновок: атаки, в ході яких атакуючий отримує неавторизований доступ до віддалених хостів не так вже й рідкісні.

    в 3% атак web-сайти атакували своїх відвідувачів.

    Висновок: пошук інформації в WWW більше не є повністю безпечним заняттям.  в 4% атак проводилося      сканування Інтернету на наявність уразливих хостів.

    Висновок: Існує багато засобів автоматичного сканування, за допомогою яких можуть бути скомпрометовані хости. Системні адміністратори повинні регулярно сканувати свої системи (а не то це зробить хтось інший).

    5% атак виявилися успішними атаками проти маршрутизаторів і міжмережевих екранів.

    Урок: самі компоненти інфраструктури Інтернету уразливі до атак (правда, більшістю цих атак були атаки віддаленого блокування комп'ютерів і сканування, і лише невелика частина з них були віддаленим проникненням у комп'ютери.)

    Відповідно до опитування за 1999 рік Інституту Комп'ютерної Безпеки і ФБР про комп'ютерні злочини, 57% опитаних організацій повідомили, що вважають з'єднання їх мереж з Інтернет "місцем, звідки часто організовуються атаки". 30% опитаних повідомило, що мали місце випадки проникнення в їх мережі, а 26% сказали, що в ході атак відбувалася крадіжка конфіденційної інформації. Федеральний центр по боротьбі з комп'ютерними злочинами в США -- FedCIRC (http://www.fedcirc.gov) повідомив, що в 1998 році атакам піддалося близько 130000 державних мереж з 1100000 комп'ютерами. Аналіз мережевого трафіку мережі Internet

    Одним із способів отримання паролів і ідентифікаторів користувачів у мережі Internet є аналіз мережевого трафіку. Мережний аналіз здійснюється з допомогою спеціальної пpогpамми-аналізатоpа пакетів (sniffer), перехоплює всі пакети, що передаються по сегменту мережі, і виділяє серед них ті, в яких передаються ідентифікатор користувача та його пароль.

    У багатьох протоколах дані передаються у відкритому, незашифрованому вигляді. Аналіз мережевого трафіку дозволяє перехоплювати дані, передані по протоколів FTP і TELNET (паролі і ідентифікатори користувачів), HTTP (передача гіпертексту між WEB-сервером і браузером, в тому числі і вводяться користувачем у форми на web-сторінках дані), SMTP, POP3, IMAP, NNTP (електронна пошта та конференції) і IRC (online-розмови, chat). Так можуть бути перехоплені паролі для доступу до поштових систем з web-інтерфейсом, номери кредитних карт при роботі із системами електронної комерції і різна інформація особистого характеру, розголошення якої небажано.

    В даний час розроблені різні протоколи обміну, що дозволяють захистити мережеве з'єднання та зашифрувати трафік (наприклад, протоколи SSL і TLS, SKIP, S-HTTP і т.п.). На жаль, вони ще не змінили старі протоколи і не стали стандартом для кожного користувача. Певною мірою їх розповсюдженню перешкодили існуючі у ряді країн обмеження на експорт засобів сильної криптографії. Через це реалізації даних протоколів або не вбудовувалися в програмне забезпечення, або значно послаблювалися (обмежувалася максимальна довжина ключа), що призводило до практичної марності їх, так як шифри могли бути виявлені за прийнятний час. Помилковий ARP-сервер в мережі Internet

    Для адресації IP-пакетів у мережі Internet крім IP-адреси хоста необхідний ще або Ethernet-адресу його мережевого адаптера (у випадку адресації усередині однієї підмережі), або Ethernet-адреса маршрутизатора (у разі міжмережевий адресації). Спочатку хост може не мати інформації про Ethernet-адреси інших хостів, які перебувають з ним в одному сегменті, у тому числі і про Ethernet-адресу маршрутизатора. Отже, перед хостом встає стандартна проблема, яка розв'язується за допомогою алгоритму віддаленого пошуку.

    У мережі Internet для вирішення цієї проблеми використовується протокол ARP (Address Resolution Protocol). Протокол ARP дозволяє одержати взаємно однозначне відповідність IP-і Ethernet-адрес для хостів, що знаходяться усередині одного сегмента. Цей протокол працює в такий спосіб: при першому зверненні до мережного ресурсу хост відправляє широкомовна ARP-запит, в якому вказує IP-адресу потрібного ресурсу (маршрутизатора або хоста) і просить повідомити його Ethernet-адресу. Цей запит отримують всі станції в даному сегменті мережі, у тому числі і та, адреса якої шукається. Отримавши цей запит, хост вносить запис про запросила станції у свою ARP-таблицю, а потім відправляє на запитав хост ARP-відповідь зі своїм Ethernet-адресою. Отриманий в ARP-відповіді Ethernet-адреса заноситься до ARP-таблицю, що знаходиться в пам'яті ОС на запиті хості.

    Через використання в РВС алгоритмів віддаленого пошуку, існує можливість здійснення в такій мережі типової віддаленої атаки "Помилковий об'єкт РВС "

    Загальна схема цієї атаки така:

    очікування ARP-запиту;

    при отриманні ARP-запиту передача по мережі на запитав хост хибного ARP-відповіді, в якому вказується адреса мережевого адаптера атакуючої станції (хибного ARP-сервера) або той Ethernet-адресу, на якому буде приймати пакети хибний ARP-сервер;

    прийом, аналіз, вплив і передача пакетів обміну між взаємодіючими хостами (вплив на перехоплену інформацію);

    Найпростіше рішення з ліквідації даної атаки - створення мережевого адміністратора статичної ARP-таблиці у вигляді файлу, куди вноситься інформація про адреси, і установка цього файлу на кожен хост усередині сегмента.

    Помилковий DNS-сервер в мережі Internet

    Як відомо, для звернення до хостам у мережі Internet використовуються 32-розрядні IP-адреси, унікально ідентифікують кожен мережевий комп'ютер. Але для користувачів застосування IP-адрес при зверненні до хостам є не дуже зручним і далеко не найбільш наочним. Тому для їх зручності було прийнято рішення привласнити всім комп'ютерам в Мережі імена, що в свою чергу вимагає перетворення цих імен в IP-адреси, тому що на мережевому рівні адресація пакетів йде не по іменах, а з IP-адресами.

    Спочатку, коли в мережі Internet було мало комп'ютерів, для вирішення проблеми перетворення імен в адреси існував спеціальний файл (так званий hosts-файл), в якому імен у відповідність ставилися IP-адреси. Файл регулярно оновлювався і розсилався по Мережі. У міру розвитку Internet, число об'єднаних в Мережу хостів збільшувалася, і така схема ставала все менш працездатною. Тому їй на зміну прийшла нова система перетворення імен, що дозволяє користувачеві отримати IP-адресу, що відповідає певному імені, від найближчого інформаційно-пошукового сервера (DNS-сервера). Цей спосіб вирішення проблеми отримав назву Domain Name System (DNS - доменна система імен). Для реалізації цієї системи був розроблений протокол DNS.

    Алгоритм роботи DNS-служби такий:

    1. Хост посилає на IP-адресу найближчого DNS-сервера DNS-запит, в якому вказується ім'я сервера, IP-адреса якого потрібно знайти.

    2. DNS-сервера при отриманні такого запиту шукає вказане ім'я в своїй базі імен. Якщо воно і відповідний йому IP-адреса знайдені, то DNS-сервер відправляє на хост DNS-відповідь, в якому вказує цю адресу. Якщо ім'я не знайдено в своїй базі імен, то DNS-сервер пересилає DNS-запит на один з відповідальних за домени верхнього рівня DNS-серверів. Ця процедура повторюється, поки ім'я не буде знайдено або буде не знайдено.

    Як видно з наведеного алгоритму, в мережі, що використовує протокол DNS, можливо впровадження помилкового об'єкта - помилкового DNS-сервера

    Так як за замовчуванням служба DNS функціонує на базі протоколу UDP, що не передбачає, на відміну від TCP, засобів ідентифікації повідомлень, це робить її менш захищеною.

    Можлива така схема роботи помилкового DNS-сервера:

    1. Очікування DNS-запиту.

    2. Витяг з отриманого повідомлення необхідних відомостей і передача за що запитав хост помилкового DNS-відповіді від імені (з IP-адреси) справжнього DNS-сервера і з вказівкою в цій відповіді IP-адреси помилкового DNS-сервера.

    3. При отриманні пакету від хоста - зміна в IP-заголовку пакета його IP-адреси на IP-адресу хибного DNS-сервера і передача пакета на сервер. Помилковий DNS-сервер веде роботу з сервером від свого імені.

    4. При отриманні пакету від сервера - зміна в IP-заголовку пакета його IP-адреси на адресу помилкового DNS-сервера і передача пакета на хост. Помилковий DNS-сервер для хоста є справжнім сервером.

    Можливі два варіанти реалізації цієї атаки. У першому випадку необхідною умовою є перехоплення DNS-запиту, що вимагає знаходження атакуючого або на шляху основного трафіку, або в одному сегменті з DNS-сервером. У другому випадку створюється спрямований шторм помилкових заздалегідь підготовленулених DNS-відповідей на атакується хост.

    У Internet при використанні існуючої версії служби DNS немає прийнятного рішення для захисту від помилкового DNS-сервера. Можна відмовитися від механізму віддаленого пошуку і повернутися до методу з файлом hosts, як це було до появи служби DNS, але на сьогоднішній день в цей файл можна лише внести інформацію про найбільш часто відвідуваних адресах.

    Також для утруднення даної атаки можна запропонувати використовувати протокол TCP замість UDP, хоча з документації не завжди відомо, як це зробити, та й використання TCP все одно не забезпечує повну безпеку. Нав'язування хосту хибного маршруту з використанням протоколу ICMP з метою створення в мережі Internet помилкового маршрутизатора

    Це ще одна атака, пов'язана із запровадженням у РВС помилкового об'єкта. Маршрутизація в Internet здійснюється на мережевому рівні (IP-рівень). Для її забезпечення в пам'яті мережної ОС кожного хоста існують таблиці маршрутизації, що містять дані про можливих маршрутах. Кожен сегмент мережі підключений до глобальної мережі Internet як мінімум через один маршрутизатор. Всі повідомлення, адресовані в інші сегменти мережі, спрямовуються на маршрутизатор, який, у свою чергу, спрямує його далі за вказаною в пакеті IP-адресу, вибираючи при цьому оптимальний маршрут.

    Як говорилося раніше, в мережі Internet існує керуючий протокол ICMP, одне з призначень якого полягає в динамічній зміні таблиці маршрутизації кінцевих мережевих систем. Дистанційне управління маршрутизацією реалізовано у вигляді передачі на хост керуючого ICMP-повідомлення Redirect Message.

    Для здійснення даної атаки необхідно підготувати хибне ICMP-повідомлення Redirect Datagrams for the Host, де вказати адресу хоста, маршрут до якого буде змінений, і IP-адреса помилкового маршрутизатора. Потім це повідомлення передається на атакується хост від імені маршрутизатора. Ця атака дозволяє отримати контроль над трафіком між цим хостом і цікавлять зломщика сервером, якщо хост і зломщик знаходяться в одному сегменті, або порушити працездатність хоста, якщо вони розташовуються в різних сегментах.

    Захиститися від цього впливу можна фільтрацією що проходять ICMP-повідомлень за допомогою систем Firewall. Інший спосіб полягає в зміні мережевого ядра ОС, щоб заборонити реакцію на ICMP-повідомлення Redirect. Підміна одного із суб'єктів TCP-з'єднання в мережі Internet (hijacking)

    Протокол TCP (Transmission Control Protocol) є одним з базових протоколів транспортного рівня мережі Internet. Він дозволяє виправляти помилки, які можуть виникнути в процесі передачі пакетів, встановлюючи логічне з'єднання - віртуальний канал. По цьому каналу передаються і приймаються пакети з реєстрацією їх послідовності, здійснюється управління інформаційним потоком, організовується повторна передача спотворених пакетів, а наприкінці сеансу канал розривається. При цьому протокол TCP є єдиним базовим протоколом з сімейства TCP/IP, що має додаткову систему ідентифікації повідомлень і з'єднання.

    Для ідентифікації TCP-пакета в TCP-заголовку існують два 32-розрядних ідентифікатора, які також відіграють роль лічильника пакетів. Їх назви - Sequence Number (номер послідовності) і Acknowledgment Number (номер підтвердження).

    Для формування помилкового TCP-пакету атакуючому необхідно знати поточні ідентифікатори для даного з'єднання. Це означає, що йому досить, підібравши відповідні поточні значення ідентифікаторів TCP-пакета для даного TCP-з'єднання послати пакет з будь-якого хоста в Мережі від імені одного з учасників даного з'єднання, і даний пакет буде сприйнятий як вірний.

    При знаходженні зломщика й об'єкта атаки в одному сегменті, завдання одержання значень ідентифікаторів вирішується аналізом мережевого трафіку. Якщо ж вони знаходяться в різних сегментах, доводиться користуватися математичним прогнозом початкового значення ідентифікатора екстраполяцією його попередніх значень.

    Для захисту від таких атак необхідно використовувати ОС, у яких початкове значення ідентифікатора генерується дійсно випадковим чином. Також необхідно використовувати захищені протоколи типу SSL, S-HTTP, Kerberos і т.д. Спрямований шторм хибних TCP-запитів на створення з'єднання

    На кожен отриманий TCP-запит на створення з'єднання операційна система повинна згенерувати початкове значення ідентифікатора ISN і відіслати його в відповідь на що запитав хост. При цьому, тому що в мережі Internet (стандарту IPv4) не передбачений контроль за IP-адресою відправника повідомлення, то неможливо відстежити справжній маршрут, пройдений IP-пакетом, і, отже, у кінцевих абонентів мережі немає можливості обмежити число можливих запитів, що приймаються в одиницю часу від одного хоста. Тому можливе здійснення типової атаки "Відмова в обслуговуванні", яка полягатиме в передачі на атакується хост якомога більшого числа хибних TCP-запитів на створення з'єднання від імені будь-якого хоста в мережі. При цьому атакують мережева ОС в залежно від обчислювальної потужності комп'ютера або - в гіршому випадку - практично зависає, або - в кращому випадку - перестає реагувати на легальні запити на підключення (відмова в обслуговуванні).

    Це відбувається через те, що для всієї маси отриманих помилкових запитів система повинна, по-перше, зберегти в пам'яті отриману в кожному запиті інформацію і, по-друге, виробити і відіслати відповідь на кожен запит. Таким чином, всі ресурси системи "з'їдає" помилковими запитами: переповнюється чергу запитів, і система займається тільки їх обробкою.

    Нещодавно в Мережі був відзначений новий тип атак. Замість типових атак Denial of Service хакери переповнюють буфер пакетів корпоративних роутерів не з одиничних машин, а з цілих тисяч комп'ютерів-зомбі.

    Такі атаки здатні блокувати канали потужністю аж до Т3 (44.736 Мбіт/c) і вже відзначено кілька таких випадків. Небезпека атаки стає тим важливіше, чим більше бізнесів використовують приватні мережі типу VPN і інші Інтернет-технології. Адже відмова каналу у публічного провайдера приведе в цьому випадку не просто до відключення окремих користувачів, а до зупинки роботи величезних корпорацій.

    У цьому випадку існують труднощі у визначенні джерела атаки - помилкові пакети йдуть з різних неповторюваних IP-адрес. "Зомбі-атаку" називають найскладнішою з відомих. На самотню жертву нападає ціла армія, і кожен зомбі б'є тільки один раз.

    прийнятним способом захисту від подібних атак в мережі стандарту IPv4 немає, так як неможливий контроль за маршрутом повідомлень. Для підвищення надійності роботи системи можна використовувати по можливості більш потужні комп'ютери, здатні витримати направлений шторм помилкових запитів на створення з'єднання. Атаки, що використовують помилки реалізації мережних служб

    Крім перерахованих атак існують і різноманітні атаки, спрямовані проти конкретних платформ. Наприклад:

    Атака Land - формується IP-пакет, в якому адреса відправника співпадає з адресою одержувача. Цій вразливості піддаються всі версії ОС сімейства Windows до Windows NT 4.0 Service Pack 4 включно. При надходженні таких запитів доступ до системи стає неможливим.

    Атаки teardrop і bonk - засновані на помилках розробників ОС в модулі, що відповідає за складання фрагментованих IP-пакетів. При цьому відбувається копіювання блока негативної довжини або після збирання фрагментів в пакеті залишаються "дірки" - порожні, не заповнені даними місця, що також може призвести до збою ядра ОС. Обидві ці вразливості були присутні в ОС Windows95/NT до Service Pack 4 включно і в ранніх версіях ОС Linux (2.0.0).

    WinNuke - атака Windows-систем передачею пакетів TCP/IP з прапором Out Of Band (OOB) на відкритий (зазвичай 139-й) TCP-порт. На сьогоднішній день ця атака застаріла. Ранні версії Windows95/NT зависали.

    Існують і різні інші атаки, характерні лише для певних ОС. Атака через WWW

    В останні декілька років з бурхливим розвитком World Wide Web сильно збільшилося і число атак через Web. У Загалом всі типи атак через Web можна розділити на дві великі групи:

    1. Атака на клієнта

    2. Атака на сервер

    У своєму розвитку браузери пішли дуже далеко від початкових версій, призначених лише для перегляду гіпертексту. Функціональність браузерів постійно збільшується, зараз це вже повноцінний компонент ОС. Паралельно з цим виникають і численні проблеми з безпекою використовуваних технологій, таких як модулі, що підключаються (plug-ins), елементи ActiveX, додатки Java, засоби підготовки сценаріїв JavaScript, VBScript, PerlScript, Dynamic HTML.

    Завдяки підтримки цих технологій не тільки браузерами, але й поштовими клієнтами і наявності помилок в них в останні рік-два з'явилася велика кількість поштових вірусів, а також вірусів, що заражають html-файли (реалізовані на VBScript з використанням ActiveX-об'єктів). Сильно поширені троянці. Подією року став випуск хакерської групою Cult of the Dead Cow програми BackOrifice 2000, яка на відміну від попередньої версії працює під WindowsNT та ще й поширюється у вихідних текстах, що дає можливість всім бажаючим створити клон цієї програми під свої конкретні потреби, до того ж, напевно, не вловлює антивірусними програмами.

    Безпека серверного ПО в основному визначається відсутністю наступних типів помилок:

    Помилки в серверах: помилки, що призводять до втрати конфіденційності; помилки, що призводять до атак типу "відмова в обслуговуванні" і помилки, що призводять до виконання на сервері неавторизованого коду.

    Помилки у допоміжних програмах

    Помилки адміністрування Проблема 2000 року стосовно мережі Internet

    Незважаючи на те, що наступ 2000 ніяк не вплине на роботу протоколів сімейства TCP/IP, існують програмно-апаратні засоби, потенційно вразливі по відношенню до проблеми Y2K - це кошти, що обробляють дані, пов'язані з системною датою.

    Коротко розглянемо можливі проблеми:

    o Проблеми з системами шифрування і цифрового підпису - можлива некоректна обробка дати створення оброблюваних повідомлень.

    o Помилки в роботі систем електронної комерції, систем електронних торгів і резервування замовлень - неправильна обробка дати.

    o Проблеми з модулями автоматизованого контролю безпеки системи і протоколювання подій - неправильне ведення журналу та його аналіз.

    o Проблеми з модулями реалізації авторизованого доступу до ресурсів системи - неможливість доступу до системи в певні дати.

    o Проблеми з запуском в певний час модулів автоматичного аналізу безпеки системи і пошуку вірусів.

    o Проблеми з системами захисту від нелегального копіювання, заснованими на тимчасових ліцензіях.

    o Проблеми з роботою операційних систем.

    o Неправильна обробка дати апаратними засобами захисту.

    Для усунення можливих проблем при настанні 2000 необхідно всебічно протестувати існуючі системи і виправити виявлені помилки. Обов'язково потрібно ознайомитися з інформацією по даній системі від фірми-виробника і обновити програмне забезпечення, якщо доступні виправлені версії. Методи захисту від віддалених атак в мережі Internet

    Найбільш простими і дешевими є адміністративні методи захисту, як то використання в мережі стійкої криптографії, статичних ARP-таблиць, hosts файли замість виділених DNS-серверів, використання або невикористання певних операційних систем та інші методи.

    Наступна група методів захисту від віддалених атак - програмно-апаратні. До них відносяться:

    програмно-апаратні шифратори мережного трафіка;  методика Firewall;  захищені мережні      кріптопротоколи;

    програмні засоби виявлення атак (IDS - Intrusion Detection Systems або ICE - Intrusion Countermeasures Electronics);

    програмні засоби аналізу захищеності (SATAN -- Security Analysis Network Tool for Administrator, SAINT, SAFEsuite, RealSecure та ін);  захищені мережні ОС.

    У загальному випадку методика Firewall реалізує наступні основні функції:  Багаторівнева фільтрація      мережевого трафіку;

    2. Proxy-схема з додатковою ідентифікацією й аутентифікації користувачів на Firewall-хості. Сенс proxy-схеми полягає у створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер на хості Firewall;

    3. Створення приватних мереж з "віртуальними" IP-адресами. Використовується для приховування істинної топології внутрішньої IP-мережі.

    Тут можна виділити підгрупу методів захисту - програмні методи. До них відносяться перш за все захищені кріптопротоколи, використовуючи які можна підвищити надійність захисту з'єднання.

    Список використаних інформаційних ресурсів:  І. Д. Медведовский,      П. В. Семьянов, Д. Г. Леонов Атака на Internet 2-е изд., Перераб. і доп. -М.:      ДМК, 1999.  Е. Немет, Г. Снайдер,      С. Сібасс, Т. Р. Хейн UNIX: керівництво системного адміністратора: Пер.      з англ. -К.: BHV, 1996  В. Жельніков Криптографія      від папірусу до комп'ютера. -M.: ABF, 1996  Матеріали журналу      "Компьютерра" (http://www.computerra.ru)  Server/Workstation Expert,      August 1999, Vol. 10, No. 8.  Глобальні мережі та      телекомунікації, № № 01/1998, 06/1998  Матеріали конференцій мережі      FidoNet: RU.NETHACK, RU.INTERNET.SECURITY  Список розсилки BugTraq ([email protected])  HackZone - територія      злому (http://www.hackzone.ru)  Бібліотека Мережний Безпеки      (http://security.tsu.ru)  Сайт компанії Internet      Security Systems (http://www.iss.net)  У. Гібсон Нейромант      -М.: ТКО АСТ; 1997

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status