Обеспечение защиты ос от атак по компьютерным сетям. Сетевые атаки

Оставьте комментарий 6,950

¾ программы на внешних носителях памяти

¾ оперативную память

¾ системные области компьютера

¾ аппаратную часть компьютера

37. Основным средством антивирусной защиты является…

¾ периодическая проверка списка автоматически загружаемых программ

¾ использование сетевых экранов при работе в сети Интернет

¾ периодические проверки компьютера с помощью антивирусного программного обеспечения

¾ периодическая проверка списка загруженных программ

38. Электронно-цифровая подпись позволяет…

¾ пересылать сообщения по секретному каналу

¾ восстанавливать поврежденные сообщения

¾ удостовериться в истинности отправителя и целостности сообщения

¾ зашифровать сообщение для сохранения его секретности

39. Абсолютная защита компьютера от сетевых атак возможна при…

¾ использовании новейших антивирусных средств

¾ использовании лицензированного программного обеспечения

¾ установке межсетевого экрана

¾ отсутствии соединения

40. Наиболее опасной с точки зрения вирусной активности частью электронного письма является…

¾ вложение

¾ заголовок

41. Преднамеренной угрозой безопасности информации является…

¾ повреждение кабеля, по которому идет передача, в связи с погодными условиями

¾ ошибка администратора

¾ наводнение

42. Протоколирование действий пользователей позволяет…

¾ реконструировать ход событий при реализации угрозы безопасности информации

¾ обеспечивать конфиденциальность информации

¾ решать вопросы управления доступом

43. Антивирусным пакетом НЕ является...

¾ Антивирус Касперского

¾ Symantec AntiVirus

¾ Norton AntiVirus

¾ Microsoft AntiVirus

44. Сетевые черви это – …

¾ программы, которые изменяют файлы на дисках, и распространяются в пределах компьютера

¾ программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии

¾ программы, распространяющиеся только при помощи электронной почты через Интернет

¾ вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от эл. сети

45. К средствам обеспечения компьютерной безопасности НЕ относятся…

¾ программа AntiViral Toolking Pro (AVP)

¾ специальные системы, основанные на криптографии

¾ электронные таблицы

¾ программы WinZip и WinRar

46. Компьютерные вирусы – это…

¾ вредоносные программы, которые возникают в связи со сбоями в аппаратных средствах компьютера

¾ программы, которые пишутся хакерами специально для нанесения ущерба пользователю

¾ программы, являющиеся следствием ошибок в операционной системе

¾ вирусы, сходные по природе с биологическими вирусами

47. Отличительными особенностями компьютерного вируса являются

¾ значительный объем программного кода

¾ способность к самостоятельному запуску и многократному копированию кода

¾ способность к созданию помех корректной работе компьютера

¾ легкость распознавания

48. Методы обеспечения компьютерной безопасности на (указать неправильный ответ)

¾ правовые

¾ организационно-технические

¾ политические

¾ экономические

49. К негативным последствиям развития современных информационных технологий можно отнести…

¾ формирование единого информационного пространства

¾ работа с информацией становится главным содержанием профессиональной деятельности

¾ широкое использование информационных технологий во всех сферах человеческой деятельности

¾ доступность личной информации для общества, вторжение информационных технологий в частную жизнь людей

50. Обеспечение защиты информации проводится конструкторами и разработчиками программного обеспечения в следующих направлениях (указать неправильный ответ)

¾ защита от сбоев работы оборудования

¾ защита от случайной потери информации

¾ защита от преднамеренного искажения информации

¾ разработка правовой базы для борьбы с преступлениями в сфере информационных технологий

¾ защита от несанкционированного доступа к информации

51. Развитый рынок информационных продуктов и услуг, изменение в структуре экономики, массовое использование информационных и коммуникационных технологий являются признаками:

¾ информационной культуры

¾ высшей степени развития цивилизации

¾ информационного кризиса

¾ информационного общества

¾ информационной зависимости

52. Что не относится к объектам информационной безопасности Российской Федерации?

¾ природные и энергетические ресурсы

¾ информационные ресурсы всех видов

¾ информационные системы различного класса и назначения, информационные технологии

¾ система формирования общественного сознания

¾ права граждан, юридических лиц и государства на получение, распространение, использование и защиту информации и интеллектуальной собственности

53. Для написания самостоятельной работы вы скопировали из Интернета полный текст нормативно-правового акта. Нарушили ли вы при этом авторское право?

¾ нет, так как нормативно-правовые акты не являются объектом авторского права

¾ нет, если есть разрешение владельца сайта

54. Можно ли использовать статьи из разных журналов и газет на политические, экономические, религиозные или социальные темы для подготовки с их использованием учебного материала?

¾ да, получив согласие правообладателей

¾ да, указав источники заимствования

¾ да, не спрашивая согласия правообладателей, но с обязательным указанием источника заимствования и имен авторов

55. Считается ли статья, обнародованная в Интернете объектом авторского права?

¾ нет, если статья впервые обнародована в сети Интернет

¾ да, при условии, что эта же статья в течение 1 года будет опубликована в печати

¾ да, так как любая статья является объектом авторского права как произведение науки или литературы

56. В каких случаях при обмене своими компьютерными играми с другими людьми, не будут нарушаться авторские права?

¾ если экземпляры этих компьютерных игр были выпущены в свет и введены в гражданский оборот с согласия автора

¾ если обладатели обмениваемых экземпляров компьютерных игр приобрели их по договору купли-продажи/мены

¾ если одновременно соблюдены условия, указанные в предыдущих пунктах

¾ если они распространяются путем сдачи в прокат

57. Основные действия (фазы), выполняемые компьютерным вирусом:

¾ заражение

¾ блокирование программ

¾ проявление

¾ размножение

¾ маскировка

58. К антивирусным программам не относятся:

¾ интерпретаторы

¾ ревизоры

¾ сторожа

¾ вакцины

59. Назначение антивирусных программ детекторов:

¾ обнаружение и уничтожение вирусов

¾ обнаружение вирусов

¾ лечение зараженных файлов

¾ уничтожение зараженных файлов

¾ лечение зараженных файлов

¾ контроль путей распространения вирусов

60. К недостаткам антивирусных средств относят:

¾ невозможность лечения «подозрительных» объектов

¾ разнообразие настроек

¾ автоматическую проверку всех открываемых файлов

¾ необходимость постоянного обновления вирусных баз

61. Антивирусным пакетом является:

¾ Антивирус Касперского

¾ Symantec AntiVirus

¾ Norton AntiVirus

¾ Microsoft AntiVirus

62. В необходимый минимум средств защиты от вирусов входит:

¾ аттестация помещения

¾ выходной контроль

¾ входной контроль

¾ архивирование

¾ профилактика

63. Криптографическое преобразование информации это:

¾ введение системы паролей

¾ шифрование данных

¾ ограничение доступа к информации

¾ резервное копирование информации

64. Наиболее эффективное средство для защиты от сетевых атак:

¾ использование сетевых экранов, или FireWall

¾ посещение только надежных узлов Интернет

¾ использование антивирусных программ

¾ использование только сертифицированных броузеров при доступе к Интернет

65. FireWall – это:

¾ почтовая программа

¾ то же, что и Интернет браузер

¾ то же, что и брэндмауэр

¾ графический редактор

66. Протоколирование действий пользователя позволяет:

¾ обеспечивать конфиденциальность

¾ управлять доступом к информации

¾ реконструировать события при реализации угрозы безопасности информации

¾ восстанавливать утерянную информацию

67. Сетевой аудит включает:

¾ антивирусную проверку сети

¾ выборочный аудит пользователей

¾ аудит безопасности каждой новой системы при ее инсталляции в сеть

¾ протоколирование действий всех пользователей в сети

68. Secure Sockets Layer:

¾ не использует шифрование данных

¾ обеспечивает безопасную передачу данных

¾ не может использовать шифрование с открытым ключом

¾ это не протокол, программа

69. Наиболее эффективным средством для защиты от сетевых атак является...

¾ Использование сетевых экранов, или Firewall;

¾ Посещение только «надёжных» Интернет-узлов;

¾ Использование антивирусных программ;

¾ Использование только сертифицированных программ-браузеров при доступе к сети Интернет.

70. Сжатый образ исходного текста обычно используется...

¾ В качестве ключа для шифрования текста;

¾ Для создания электронно-цифровой подписи;

¾ Как открытый ключ в симметричных алгоритмах;

¾ Как результат шифрования текста для его отправки по незащищенному каналу.

71. Из перечисленного: 1) пароли доступа, 2) дескрипторы, 3) шифрование, 4) хеширование, 5) установление прав доступа, 6) запрет печати,

к средствам компьютерной защиты информации относятся:

72. Заражение компьютерным вирусом не может произойти

¾ При открытии файла, прикрепленного к почте;

¾ При включении и выключении компьютера;

¾ При копировании файлов;

¾ При запуске на выполнение программного файла.

73. Электронная цифровая подпись документа позволяет решить вопрос о ______________ документа(у)

¾ Режиме доступа к

¾ Ценности

¾ Подлинности

¾ Секретности

74. Результатом реализации угроз информационной безопасности может быть

¾ Уничтожение устройств ввода/вывода

¾ Изменение конфигурации периферийных устройств

¾ Уничтожение каналов связи

¾ Внедрение дезинформации

75. Электронная цифровая подпись устанавливает_____информации

¾ Непротиворечивость

¾ Подлинность

¾ Противоречивость

76. Программными средствами для защиты информации в компьютерной сети являются:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.

77. Для безопасного использования ресурсов в сети Интернет предназначен протокол…

Сетевая защита и брандмауэр

Понимая опасность атак, многие исследовательские центры и частные компании занимались решением этой проблемы. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил название Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переведен как брандмауэр .

Брандмауэр – специальное программное обеспечение, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр – это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.

В состав Windows XP входит встроенная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром :

Блокировка доступа на компьютер вирусам и «червям»;

Запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;

Ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.

Идея атак взломщиков основывается на работе низкоуровневых алгоритмов обработки сетевых запросов, в некоторых старых версиях программного обеспечения их можно было пытаться использовать для возможного проникновения через сетевой экран. В современных версиях брандмауэра , если грамотно его настроить, можно избежать любых атак взломщиков.

Когда на компьютер поступает непредусмотренный запрос (кто-то пытается подключиться из Интернета или по локальной сети), брандмауэр блокирует подключение. Если на компьютере используются программы передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Предусмотрена так же возможность отключения брандмауэра для отдельных подключений к Интернету или локальной сети, но это повышает вероятность нарушения безопасности компьютера.

Настройка брандмауэра

Если брандмауэр подключен, то для его настройки следует:

Войти в систему под учетной записью системного администратора;

Открыть папку, в которой находятся сетевые подключения:

Пуск\Настройка\Панель управления\Сетевые подключения (рис.1.);

Выбрать строку, например, (рис.2.);

Во вкладке Общие сделать щелчок по кнопке Свойства (рис.2.);

Появится дополнительное окно Свойства , в котором выбрать вкладку Дополнительно (рис.1.2.);

Во вкладке Дополнительно нажать кнопку Параметры (рис.3.);

Появится окно программы Брандмауэр Windows (рис.3.).

Аналогичное окно появится при выборе программы Брандмауэр Windows из списка программ в Панели управления :

Пуск – Настройки – Панель управления – Брандмауэр Windows (рис.4.)

Для получения подробной информации в окне программы Брандмауэр Windows следует сделать щелчок по ссылке Подробнее о Брандмауэре Windows . Появится окно Центр справки и поддержки, в котором будет приведена вся информация о назначении и использовании брандмауэра .

Рисунок 1. Окно программы Сетевые подключения

Рисунок 2. Окна программы Подключение по локальной сети

Рисунок 3. Окно вкладки Дополнительно и окно программы Брандмауэр

Рисунок 4. Окно Панель управления и окно программы Брандмауэр Windows

Закладка Общие окна настроек брандмауэра является главной, по умолчанию брандмауэр включен (рис.4.). Закладка содержит ряд опций.

Опция Включить (рекомендуется) включает брандмауэр . Опция Не разрешать исключения может использоваться только вместе с опцией Включить (рекомендуется) . Она позволяет повысить уровень безопасности системы в случае ее использования в публичных местах, таких как аэропорты, кафе, кинотеатры и пр., оборудованные доступом в Интернет. Уровень безопасности будет увеличен за счет запрета работы программ, к которым разрешается получать доступ из сети, прегражденной сетевым фильтром. Сообщения об отказе доступа пользователям к таким приложениям система генерировать не будет.

Опция Выключить (не рекомендуется) полностью выключает брандмауэр . В этом случае система оказывается совершенно незащищенной от атак извне. Единственный случай, когда это может быть оправдано, это когда нужно кратковременно протестировать работу какого-либо приложения, которое не хочет работать с активным сетевым экраном.

Брандмауэр Windows блокирует входящие сетевые подключения, исключая программы и службы, выбранные пользователем. Добавление исключений улучшает работу некоторых программ, но повышает риск безопасности. Закладка Исключения позволяет указать программы и сервисы, к которым могут быть осуществлены соединения пользователей со стороны Интернета (рис.5.). Фактически, для этих программных продуктов сетевой фильтр работать не будет, пропуская все запросы к ним через себя.

Рисунок 5. Закладка Исключения

Закладка Исключения представляет собой список программ и сервисов, к которым можно разрешить доступ со стороны Интернета, посредством установки рядом с ними флажка. Опция Отображать уведомление , когда брандмауэр блокирует программу , в случае ее активизации, заставляет Windows выдавать сообщение о попытке доступа из сети. По умолчанию опция включена, т.к. она помогает лучше понять процессы, происходящие внутри системы. Если на закладке Общие установлена опция Не разрешать исключения сообщение выдаваться не будет.

Для удаления программы или сервиса из списка разрешенных объектов к обращению из сети Интернет следует выделить объект из списка окна и нажать кнопку Удалить . Данную операцию стоит проводить с программами или сервисами, которые больше не должны быть доступны для пользователей из Интернета.

Для редактирования определенного объекта из списка программ и сервисов, разрешенных к обращению из Интернета следует выделить редактируемый объект и нажать кнопку Изменить , появится окно Изменение программы (рис.6). Диалоговое окно содержит имя редактируемой программы и путь к ее исполняемому файлу. Кнопка Изменить область позволяет указать, каким именно сетевым компьютерам будет доступна выбранная программа или сервис. В данном окне можно указать три режима, в соответствии с которыми будет осуществляться доступ из сети к программе или сервису, расположенному в системе.

Режим Любой компьютер (включая из Интернета) указывает, что доступ к данной программе будет возможен со всех сетевых компьютеров, включая расположенные в Интернете. Не рекомендуется выбирать режим без особой необходимости, т.к. будет предоставлена возможность любому пользователю извне пробовать подключаться к определенному программному обеспечению. А в случае наличия в нем уязвимостей, пользователь может получить доступ к системе или нарушить ее нормальное функционирование.

Режим Только локальная сеть (подсеть) позволяет сделать возможным доступ к программному обеспечению только из сети, в которой находится система, что значительно снижает риск взлома даже при наличии уязвимостей в программном обеспечении. Если нужно разрешить доступ только с некоторых сетевых компьютеров, рекомендуется использовать третью опциею.

Рисунок 6. Диалоговое окно Изменение программы

Рисунок 7. Диалоговое окно Изменение области

Режим Особый список позволяет указать в нижележащем поле ввода список IP-адресов (сетевой адрес вида a.b.c.d ) компьютеров, которым будет разрешен доступ к выбранному сервису или программе. Это наиболее удобный и безопасный способ осуществления разрешения на доступ из сети, так как в этом случае всегда можно контролировать компьютеры, которые его получают, и быть уверенными в том, что система надежно защищена от атак. Рекомендуется использовать данный режим (если позволяет ситуация), как самый оптимальный из всех. Кнопка ОК сохраняет внесенные изменения в окне, кнопка Отмена – их отменяет.

Рисунок 8. Диалоговое окно Добавление программы

В закладке Исключения кнопка Добавить программу позволяет добавить программы, к которым следует разрешить доступ со стороны сети (рис.8.). Из предлагаемого списка требуется выбрать нужное приложение или воспользоваться кнопкой Обзор и указать его исполняемый файл в файловой системе компьютера. С помощью кнопки Изменить область можно указать с каких сетевых компьютеров будет возможен доступ к данному приложению. Кнопка ОК сохраняет внесенные изменения, закрывая окно добавления программы, кнопка Отмена

В закладке Исключения нажатие кнопки Добавить порт выводит диалоговое окно Добавление порта (рис.9.). Номер порта представляет собой канал, выраженный целочисленным десятичным числом, по которому приложения могут обмениваться информацией. Если используемому приложению требуется открыть определенный канал, то в поле Имя следует ввести имя приложения, в поле Номер порта – номер порта, сообщенный приложением. Флажковые опции TCP и UDP позволяют указать какой порт требуется приложению. Если необходимо создать два порта с одинаковыми номерами, но разными типами (TCP или UDP ), то следует дважды воспользоваться функцией дополнения порта (кнопкой Добавить порт ) (рис.9.), и с помощью кнопки Изменить область указать с каких сетевых компьютеров будет возможен доступ к данному порту. Кнопка ОК сохраняет внесенные изменения, кнопка Отмена приводит к отмене всех дополнений сделанных в окне.

Рисунок 9. Диалоговое окно Добавление порта

Порядок действий при обнаружении сетевых атак.

1. Классификация сетевых атак

1.1. Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки ). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.

1.2. IP-спуфинг

IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

1.3. Отказ в обслуживании (Denial of Service — DoS )

DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.

Наиболее известные разновидности DoS:

TCP SYN Flood Ping of Death Tribe Flood Network (TFN );
Tribe Flood Network 2000 (TFN2K );
Trinco;
Stacheldracht;
Trinity.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер ) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS ).

1.4. Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу ). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший ) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

1.5. Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

1.6. Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа ). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей ). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

1.7. Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep ) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

1.8. Злоупотребление доверием

Этот тип действий не является «атакой» или «штурмом» . Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.

1.10. Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация ). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными» . Источник таких атак может находиться как внутри сети, так и снаружи.

1.11. Вирусы и приложения типа «троянский конь»

Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.

2. Методы противодействия сетевым атакам

2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

2.1.1. Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords ). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token ) понимается аппаратное или программное средство, генерирующее (по случайному принципу ) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.

2.1.2. Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

2.1.3. Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.

2.1.4. Криптография - Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).

2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

2.2.1. Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

2.2.2. Фильтрация RFC 2827 - пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP ). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.3. Угроза атак типа DoS может снижаться следующими способами:

2.3.1. Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

2.3.2. Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.

2.3.3. Ограничение объема трафика (traffic rate limiting ) – договор с провайдером (ISP ) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D ) DoS часто используют ICMP.

2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.

2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.

При использовании обычных паролей, необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д. ). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге.

2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии ), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.

Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

чтение и/или анализ лог-файлов операционных систем и сетевые лог-файлов с помощью специальных аналитических приложений;
своевременное обновление версий операционных систем и приложений и установка последних коррекционных модулей (патчей );
использование систем распознавания атак (IDS ).

2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP ), в сети которого установлена система, проявляющая чрезмерное любопытство.

2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8 ). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS ).

2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.

3. Алгоритм действий при обнаружении сетевых атак

3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п. ).

3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.

3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием » каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.

3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:

осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
выявляет диапазон IP – адресов, с которых осуществляется атака;
отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.

3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.

3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.

Скачать ZIP файл (24151)

Пригодились документы - поставь «лайк»:

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.

дипломная работа , добавлен 21.06.2011

Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.

курсовая работа , добавлен 16.03.2015

Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.

курсовая работа , добавлен 21.01.2011

Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

курсовая работа , добавлен 04.11.2014

Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".

курсовая работа , добавлен 20.04.2015

Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.

презентация , добавлен 24.01.2014

Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.

контрольная работа , добавлен 30.11.2015

Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.

контрольная работа , добавлен 17.01.2015

защита компьютерный сеть

Сетевая защита и брандмауэр

Как бы ни была безопасна система, всегда есть риск, что кто-то извне по компьютерной сети будет пытаться ее взломать. Единственным решением, которое позволяет в большинстве случаев решить эту проблему является своевременное обновление версий программного обеспечения. Но и в этом случае можно найти какую-то особенность в функционировании программного обеспечения и использовать ее для взлома системы. Например: использование пользователем демонстрационной версии программного продукта или используемая версия программного обеспечения больше не поддерживается разработчиком. В этих ситуациях, если не использовать каких-либо дополнительных мер, пользователь может оказаться беззащитным от атак извне.

Понимая опасность таких ситуаций, многие исследовательские центры и частные компании занимались решением этой проблемы. Разработчики рассудили: раз сетевой взломщик не должен взломать компьютер пользователя, то он просто не должен получить к нему доступ, т.е. необходимо гарантированно закрыть доступ к компьютеру несанкционированным пользователям. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил название Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переведен как брандмауэр .

Брандмауэр - это специальное программное обеспечение, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Он ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр - это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.

В состав Windows XP входит встроенная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром :

- блокировка доступа на компьютер вирусам и «червям»;
- запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;
- ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.