Мережева безпека
Атаки поділяють на активні і пасивні.
Активні атаки включають явні впливу на систему, що змінюють її стан. Це можуть бути шкідливий програмний код-вірус, впроваджений в виконувану системою програму, спотворення даних на сторінках зламаного веб-сайту, блокування мережевого сервісу шляхом бомбардування його помилковими запитами або запроваджене в комунікаційний протокол неправдиве повідомлення. Головною відмінною рисою активних атак є те, що після свого завершення вони, як правило, залишають сліди.
Пасивні атаки не порушують нормальну роботу ІС, вони пов'язані зі збором інформації про систему, наприклад прослуховуванням внутрішньомережевого трафіку або перехопленням
повідомлень, переданих по лініях зв'язку. У багатьох випадках пасивні атаки не залишають слідів.
1. Відмова в обслуговуванні
До числа активних атак відносяться дві вельми поширені атаки: відмова в обслуговуванні і розподілена атака відмови в обслуговуванні.
Сенс атаки відмови в обслуговуванні (Denial of Service, DoS) прямо випливає з її назви. Відмова в обслуговуванні може наступити в результаті не тільки різкою флуктуації інтенсивності запитів, але і зловмисних дій, коли перевантаження створюється штучно, а саме: на атакується комп'ютер надсилається інтенсивний потік запитів, згенерованих засобами атакуючого комп'ютера. Цей потік «затоплює» атакується комп'ютер, викликаючи його перевантаження, і в кінцевому рахунку робить його недоступним. Блокування відбувається в результаті вичерпання ресурсів або процесора, або операційної системи, або каналу зв'язку (смуги пропускання).
Для проведення потужної атаки зловмисник захоплює контроль над деякими безліччю комп'ютерів, організовує їх узгоджену роботу і направляє сумарний багаторазово посилився потік запитів з безлічі комп'ютерів-«зомбі» на комп'ютер-жертву. Кажуть, що в таких випадках має місце розподілена атака відмови в обслуговуванні (Distributed Denial of Service, DDoS), або DDoS-атака.
При проведенні атак зловмисникові важливо не тільки досягти своєї мети, що полягає в заподіянні шкоди атакованого об'єкту, але і знищити всі сліди своєї участі в цьому.
Одним з основних прийомів, використовуваних зловмисниками для «замітання слідів», є підміна вмісту пакетів, або спуфинг (spoofing). Зокрема, для приховування місця знаходження джерела шкідницьких пакетів (наприклад, при атаці відмови в обслуговуванні) зловмисник змінює значення поля адреси відправника в заголовках пакетів.
Оскільки адреса відправника генерується автоматично системним програмним забезпеченням, зловмисник вносить зміни до відповідних програмні модулі так, щоб вони давали йому можливість відправляти зі свого комп'ютера пакети з будь-якими IP-адресами. Ще важче визначити адресу джерела розподіленої атаки, так як безпосередніми виконавцями виступають «зомбовані» комп'ютери і саме їх адреси містяться в поле адреси відправника пакетів, бомбардують комп'ютер-жертву. І хоча нічого не підозрюють власники комп'ютерів-виконавців стають учасниками розподіленої атаки проти своєї волі, велика частина відповідальності лягає і на них.
Адже саме їх недоробки в справі забезпечення безпеки власних систем уможливили цю атаку.
2. Впровадження шкідливих програм
Численна група активних атак пов'язана з впровадженням в комп'ютери шкідливих програм (malware - скорочення від malicious software). До цього типу програм відносяться троянські та шпигунські програми, руткіти, черв'яки, віруси, спам, логічні бомби і ін.
Ці програми можуть проникати на яких атакували комп'ютери різними шляхами. Найпростіший з них - «самодоставка», коли користувач завантажує файли з неперевірених джерел (знімних носіїв або веб-сайтів) або безтурботно відкриває підозрілий файл, який прийшов до нього як додаток по електронній пошті. Існують і більш складні представники шкідливих програм, що володіють власними механізмами «розмноження», копії таких програм поширюються по комп'ютерам мережі без участі користувачів.
Одним із прикладів шкідливих програм є шпигунські програми (spyware), які таємно (як правило, віддалено) встановлюються зловмисниками на комп'ютери нічого не підозрюють користувачів, щоб відстежувати і фіксувати всі їхні дії. У число таких дій може входити введення імені та пароля під час логічного входу в систему, відвідування тих чи інших веб-сайтів, обмін інформацією з зовнішніми і внутрішніми користувачами мережі та ін. Зібрана інформація пересилається зловмисникові, який застосовує її в злочинних цілях.
3. Крадіжка особистості, фішинг
У міру розвитку послуг, що надаються через Інтернет, все більш популярними стають афери, коли одна людина видає себе за іншого. Таку пасивну атаку, яка полягає в зборі даних про іншу людину, називають крадіжкою особистості (identity theft).
Фішинг (phishing - спотворене fishing) використовується шахраями для «вивудження» персональних даних. Погані люди створюють підроблені сайти, що виглядають зовсім як справжні, вони використовують доменні імена, дуже схожі на справжні. Коли вам пропонують відвідати сайт міжнародної платіжної системи PayPal, а в адресному рядку браузера з'являється адреса www.peypal.com, ви можете і не помітити підміни.
Наступним винаходом стали спливаючі вікна. Справжній сайт банку є тільки фоном, на якому розташовуються вікна-пастки зловмисника.
4. Мережева розвідка
У ході такої атаки хакер власне не робить ніяких деструктивних дій, але в результаті він може отримати закриту інформацію про побудову та принципи функціонування обчислювальної системи жертви. У ході такої розвідки зловмисник може виробляти сканування портів, запити DNS, луна-тестування відкритих портів, наявність і захищеність проксі-серверів.
5. Сніфінг пакетів
Також досить поширений вид атаки, заснований на роботі мережевої карти в режимі promiscuous mode, а також monitor mode для мереж Wi-Fi. У такому режимі всі пакети, отримані мережевою картою, пересилаються на обробку спеціальним додатком, який називається сніфер, для обробки. У результаті зловмисник може отримати велику кількість службової інформації: хто звідки куди передавав пакети, через які адреси ці пакети проходили.
6. Ін'єкція (експлойт)
Атака, пов'язана з різного роду ін'єкціями, має на увазі впровадження сторонніх команд або даних в працюючу систему з метою зміни ходу роботи системи, а в результаті - одержання доступу до закритих функцій та інформації або дестабілізації роботи системи в цілому.SQL-ін'єкція - атака, в ході якої змінюються параметри SQL-запитів до бази даних.PHP-ін'єкція - один із способів злому веб-сайтів, що працюють на PHP.;Міжсайтовий скриптинг або СSS (абр. від англ. Cross Site Scripting) - тип атак, зазвичай виявляють у веб-додатках, які дозволяють впроваджувати код зловмисних користувачам у веб-сторінки, що переглядаються іншими користувачами.XPath-ін'єкція - вид атак, який полягає у впровадженні XPath-виразів у оригінальний запит до бази даних XML.
7. Man-in-the-Middle
З англ. «Людина посередині». Коли зловмисник перехоплює канал зв'язку між двома системами, і отримує доступ до всієї інформації, що передається. Мета такої атаки - крадіжка або фальсифікування переданої інформації, або ж отримання доступу до ресурсів мережі . Тому в чисто технічному плані убезпечити себе можна лише шляхом криптошифрування переданих даних
Способи захисту від атак
1. Фільтрація
Під фільтрацією трафіку розуміється обробка IP-пакетів маршрутизаторами і файерволами, яка веде до відкидання деяких пакетів або зміни їх маршруту. Фільтрація трафіку дозволяє або запобігти атаці на мережу, заздалегідь блокуючи доступ до неї для деяких зовнішніх мереж і хостів, або, якщо джерело атаки не був попередньо заблокований, зупинити її. Умови фільтрації бувають найрізноманітнішими, і не завжди вдається знайти простий ознака, за яким одні пакети потрібно пропускати, а інші - відкидати. До того ж така умова майже завжди є компромісом між запобіганням атаки і підтриманням належної функціональності захищається вузла - чим більше потенційних атак ми запобігаємо, тим більше урізуємо функції вузла TCP / IP, пов'язані з його звичайною роботою.
2. Фаєрволи
Файервол (міжмережевий екран, або брандмауер) - це комплекс програмно-апаратних засобів, що здійснює інформаційну захист однієї частини комп'ютерної мережі від іншої шляхом аналізу і фільтрації проходить між ними трафіку. Файервол здійснює екранування, що захищається і формує його зовнішнє уявлення.
Для того щоб фільтрувати трафік, фаєрвол повинен мати принаймні два мережевих інтерфейсу: з внутрішньою мережею і з зовнішньою мережею. Файервол захищає внутрішню мережу (наприклад, локальну мережу підприємства або, як вироджений випадок, окремий комп'ютер користувача) від загроз, що виходять із зовнішнього мережі (ми будемо, як правило, мати на увазі під такою мережею Інтернет). Файервол може також захищати одну внутрішню мережу підприємства від іншої, якщо відповідно до принципу мінімуму
повноважень користувачам цих мереж не потрібен повний взаємний доступ до ресурсів один одного.
Основними функціями брандмауера є:
• фільтрація трафіку з метою захисту внутрішніх ресурсів мережі;
• аудит - файервол повинен фіксувати всі події, пов'язані з виявленням і блокуванням підозрілих пакетів.
Поряд з цими двома базовими функціями на фаєрвол можуть бути покладені і інші допоміжні функції захисту, в чесності:
• антивірусний захист;
• шифрування трафіку:
• логічне посередництво між внутрішніми клієнтами та зовнішніми серверами (функція проксі-сервера);
• фільтрація повідомлень по вмісту, включаючи типи файлів, що передаються, імена ONS і ключові слова;
• попередження і виявлення вторгнень і мережевих атак;
• функції VPN;
• трансляція мережевих адрес (NAT).
Типи файерволів
В найзагальнішому вигляді за способом реалізації розрізняють програмний, апаратний і програмно-апаратний фаєрволи:
- Програмний фаєрвол реалізований як програмна система, що працює під управлінням універсальної ОС, такий як Microsoft Windows, Linux або Mac OS (можливо, має версії для декількох універсальних ОС);
- Апаратний фаєрвол реалізований як набір додаткових функцій маршрутизатора, що стосуються фільтрації ;
- Програмно-апаратний фаєрвол включає як програмну систему, так і спеціалізованний сервер, операційна система якого і апаратура мають конфігурацію і налаштування, оптимізовані для роботи брандмауера (найчастіше в якості такої спеціалізованої платформи використовується універсальна ОС з набором специфічних налаштувань, що забезпечують максимальний рівень безпеки, а також сервер, сертифікований для роботи з програмним забезпеченням брандмауера) .
3. Проксі-сервери
Проксі-сервер (proxy server) - це особливий тип додатка, яке виконує функції посередника між клієнтськими і серверними частинами розподілених мережевих додатків, причому передбачається, що клієнти належать внутрішньої (що захищається) мережі, а сервери - зовнішньої (потенційно небезпечної) мережі.
Роль транзитного вузла дозволяє проксі-сервера логічно розірвати пряме з'єднання між клієнтом і сервером з метою контролю процесу обміну повідомленнями між ними. Подібно мережевого екрану, проксі-сервер може ефективно виконувати свої функції тільки за умови, що контрольований ним трафік не піде обхідним шляхом.
Проксі-сервер може бути встановлений не тільки на платформі, де працюють всі інші модулі брандмауера, але і на будь-якому іншому вузлі внутрішньої мережі або мережі демілітаризованої зони. В останньому випадку програмне забезпечення клієнта повинно бути налаштоване таким чином, щоб у нього не було можливості встановити пряме з'єднання з ресурсним сервером, минаючи проксі-сервер. Коли клієнтові необхідно отримати ресурс (файл, веб-сторінку, поштове повідомлення) від будь-якого сервера, він посилає свій запит проксі-сервера. Проксі-сервер аналізує цей запит і на підставі заданих йому адміністратором правил вирішує, яким чином він повинен бути оброблений (відкинутий, переданий без зміни ресурсному серверу, модифікований тим чи іншим способом перед передачею, негайно оброблений силами самого проксі-сервера).
Як правил, якими керується проксі-сервер, можуть виступати умови пакетної фільтрації. Правила можуть бути досить складними: наприклад, в робочі години блокується доступ до тих чи інших вузлів і / або додатків, а доступ до інших вузлів дозволяється тільки певним користувачам, причому для FTP-серверів користувачам дозволяється робити лише завантаження, а вивантаження забороняється. Проксі-сервери можуть також фільтрувати поштові повідомлення по типу пересилається файлу (наприклад, заборонити отримання додатків формату MP3) і по їх контенту. До різних користувачів можуть застосовуватися різні правила фільтрації, тому часто на проксі-сервери покладається завдання аутентифікації користувачів. Якщо після всебічної оцінки запиту від програми проксі-сервер констатує, що запит задовольняє умовам проходження далі в зовнішню мережу, то він за дорученням додатки, але від свого імені виконує процедуру з'єднання з сервером, затребуваним даними додатком.
Розрізняють проксі-сервери прикладного і сеансового рівнів.
• Проксі-сервер прикладного рівня, як це випливає з його назви, вміє «вклинювати
ся »в процедуру взаємодії клієнта і сервера по одному з прикладних протоколів, наприклад HTTP, HTTPS, SMTP / POP, FTP або telnet. Щоб виступати в ролі посередника на прикладному рівні, проксі-сервер повинен «розуміти» сенс команд, «знати» формати і послідовність повідомлень, якими обмінюються клієнт і сервер відповідної служби. Це дає можливість проксі-сервера проводити аналіз вмісту повідомлень і робити висновки про підозрілий характер того чи іншого сеансу.
• Проксі-сервер сеансового рівня виконує свою посередницьку місію на транспортному рівні, контролюючи TCP-з'єднання. Очевидно, що, працюючи на більш низькому рівні, проксі-сервер має набагато меншим «інтелектом» і має менше можливостей для виявлення та попередження атак. Однак він володіє одним дуже важливою перевагою перед проксі-сервером прикладного рівня - універсальністю, тобто він може бути використаний будь-якими додатками, що працюють по протоколу TCP (а в деяких випадках і UDP).
4. Фаєрволи з функцією NAT
Однією з функцій брандмауера є трансляція мережевих адрес (Network Address Translation, NAT). В цьому випадку фільтрація трафіку полягає не в пропуску або відкиданні пакетів, а в заміні зовнішнього IP-адреси пакета, який використовувався при маршрутизації пакета через Інтернет, на внутрішній, необхідний для маршрутизації у внутрішній мережі, корпоративної або персональної.
Сьогодні існують дві причини звернення до технології NAT: одна з них - дефіцит адрес IPv4, інша - приховування адрес хостів для підвищення безпеки мережі. В тому і в іншому випадку внутрішня мережа використовує приватні адреси, які замінюються одним або декількома публічними адресами при відправці пакетів в зовнішні мережі.
Застосування NAT дозволяє приховати адреси вузлів своєї мережі, щоб не дати можливості зловмисникам скласти уявлення про структуру та масштабах корпоративної мережі, а також про структуру і інтенсивності вихідного і вхідного трафіків.
5. Аналізатори протоколів
Аналізатори протоколів здатні на основі деяких заданих оператором логічних умов захоплювати окремі пакети і декодувати їх, тобто показувати в зручній для фахівця формі вкладеність пакетів протоколів різних рівнів один в одного з розшифровкою змісту полів кожного пакета. Дружній інтерфейс, зазвичай властивий цього класу пристроїв, дозволяє користувачеві виводити результати аналізу інтенсивності трафіку; отримувати миттєву і усереднену статистичну оцінку продуктивності мережі; задавати певні події і критичні ситуації для відстеження їх виникнення.
Аналізатор протоколів є або самостійне спеціалізоване пристрій, або персональний комп'ютер, зазвичай переносний класу Notebook, оснащений спеціальною мережевою картою і відповідним програмним забезпеченням.
Аналізатор протоколів підключається до мережі точно так же, як звичайний вузол. Відмінність полягає в тому, що аналізатор протоколів може приймати всі пакети даних, що передаються по мережі, в той час як звичайна станція - адресовані тільки їй.
Грунтуючись на результатах аналізу вмісту пакетів того чи іншого протоколу, можна оптимізувати продуктивність мережі, знаходити і усувати неполадки, здійснювати обґрунтоване і зважене зміна будь-яких компонентів мережі. Зазвичай для того, щоб зробити якісь висновки про вплив деякого зміни на мережу, аналіз протоколів виконується і до, і після внесення цієї зміни.
6. Системи виявлення вторгнень
Система виявлення вторгнень (Intrusion Detection System, IDS) - це програмне або апаратне засіб, яке виконує безперервне спостереження за мережевим трафіком і діяльністю суб'єктів системи з метою попередження, виявлення і протоколювання атак.
На відміну від файерволов і проксі-серверів, які будують захист мережі виключно на основі аналізу мережевого трафіку, системи виявлення вторгнень враховують у своїй роботі різні підозрілі події, що відбуваються в системі.
Існують ситуації, коли мережевий екран виявляється проникним для зловмисника: наприклад, коли атака йде через тунель VPN з зламаної мережі, коли ініціатором атаки є користувач внутрішньої мережі і т.п. І справа тут не в поганій конфігурації брандмауера, а в самому принципі його роботи. Файервол, незважаючи на те що володіє пам'яттю і аналізує послідовність подій, конфігурується на блокування трафіку з заздалегідь передбачуваними ознаками, наприклад по IP-адресами або протоколів.
Так що факт злому зовнішньої мережі, з якою у нього був встановлений захищений канал і яка перш поводилася цілком коректно, в правилах екрану відобразити не можна. Точно так же, як і несподівану спробу легального внутрішнього користувача скопіювати файл з паролями або підвищити рівень своїх привілеїв. Подібні підозрілі дії може виявити тільки система, оснащена агентами, вбудованими в багато точок мережі, причому вона повинна стежити не тільки за трафіком, а й за всіма зверненнями до критично важливих ресурсів окремих комп'ютерів, а також мати інформацію про перелік підозрілих дій (сигнатур атак) користувачів.
Такий і є система виявлення вторгнень. Вона не дублює дії брандмауера, а доповнює їх, виробляючи, крім того, автоматичний аналіз всіх журналів подій, наявних у мережевих пристроїв і засобів захисту, щоб спробувати знайти сліди атаки, якщо її не вдалося зафіксувати в реальному часі.
Іншою важливою відмінністю IDS від файерволов є те, що в обов'язки IDS не входить блокування підозрілого трафіку. IDS тільки намагається виявити підозрілу активність і підняти тривогу - зазвичай шляхом попередження адміністратора мережі електронним повідомленням. Крім підняття тривоги IDS протоколює підозрілі пакети, поміщаючи їх в журнал.
Поряд з системами виявлення вторгнень існують системи попередження вторгнень (Intrusion Prevention Systems, IDP), які виконують автоматичні дії по припиненню атаки в разі її виявлення. Часто такі системи передоручають цю роботу файерволу, передаючи йому нове правило для блокування підозрілого трафіку.
В IDS для виявлення вторгнень застосовуються декількох типів правил:
• Правила, засновані на сигнатурі (підписи) атаки (signature rules), використовують характерну для атаки послідовність символів в даних пакета. Наприклад, правило може диктувати пошук рядка «user root» в полях FTP-пакета - як відомо, цей протокол передає паролі користувачів у відкритому вигляді і застосування його суперкористувачем root вважається грубим порушенням політики безпеки підприємства, так що система IDS повинна відстежувати такі випадки. Найчастіше сигнатури атак відносяться до прикладних протоколів, для виявлення вторгнення на транспортному рівні вони менш придатні. Для ефективної роботи система IDS повинна мати велику, постійно поповнюється базу сигнатур атак.
• Правила, засновані на аналізі протоколів (protocol rules), пов'язані з перевіркою логіки роботи протоколу і фіксацією відхилень від нього. Так як кожен протокол має специфічну логіку, IDS зазвичай має бібліотеку програмних модулів, кожен з яких може аналізувати поведінку певної протоколу. Правила аналізу протоколів написати набагато складніше, ніж правила аналізу підпису атаки, так як для цього потрібно добре знати логіку протоколу та можливі відхилення від неї. Реалізація правил аналізу протоколів вимагає великого швидкодії IDS, в іншому випадку робота системи IDS може значно сповільнитися і вона не зможе працювати в реальному часі.
• Правила, засновані на статистичних аномаліях трафіку, перевіряють такі характеристики трафіку, як Тор N sessions, Тор N Data, які були розглянуті в описі технології аналізу даних NetFlow. В принципі, будь-яка статистика активності користувачів корпоративної мережі може служити для цієї мети. Наприклад, якщо 10% трафіку користувачів відділу планування завжди направлено до сервера бази даних фінансового відділу, то поява користувача, у якого 90% трафіку йде на роботу з цим сервером, може викликати підозру: можливо, комп'ютер цього користувача захоплений зловмисником, який віддалено намагається викрасти важливі фінансові дані підприємства.
Інструментарій з прикладами використання
Wireshark
Потужний мережевий аналізатор, призначений для діагностики та захоплення пакетів, які обробляються роутером. Додаток моніторить всі зв'язки, що між вузлами, містить інтегровану систему фільтрів і комплекс декодувальник протоколів, може шукати складності в роботі мережі і «віддзеркалювати» дані. Програма дозволяє імпортувати звіти, отримані за допомогою інших подібних утиліт.
Визначити DDoS атаку за допомогою програми можна таким способом. Можна відфільтрувати окремі адреси джерел пакетів (на малюнку це не зображено), та проаналізувати колонки Time та DestPort. Якщо значення DestPort співпадають, то це явна ознака DDoS атаки. Ознайомтеся також зі стовпцем Time. Зауважте, як мало часу між кожним пакетом - всього тисячі секунд. Це ще одна ознака атаки DoS.
CommView
Багатофункціональний додаток, за допомогою якого можна своєчасно виявити неполадки в роботі мережі. Утиліта дозволяє контролювати стан локальних та Інтернет-з'єднань, захоплювати пакети і аналізувати трафік у вигляді діаграм. Підтримується більше 100 поширених протоколів, є функція діагностики стану мережі за розкладом. «Родзинка» CommView - наявність спеціального модуля для обробки VoIP-трафіку.
Total Network Monitor
Це програма для постійного спостереження і адміністрування локальної мережі, окремих комп'ютерів, Інтернет-ресурсів, мережевих і системних служб. TNM завчасно сповістить вас про виникнення неполадок за допомогою різних засобів і сформує детальний звіт про те, що і коли сталося.
Моніторинг мережі
Ви створюєте монітори - об'єкти, періодично перевіряють той чи інший аспект роботи служби, сервера або файлової системи. Монітори гнучко налаштовуються і відображають стан мережі в реальному часі.
Використанні ресурси:
Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. — СПб.: Питер, 2016. — 992 с.:
Коментарі
Дописати коментар