Внешние атаки на компьютерные сети и способы защиты от них Для оценки типов

оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу

TPC/IP. Сеть Интернет создавалась для связи между государственными учреждениями в научным исследованиям. Создатели данной сети не подозревали, насколько широко она распространится. В результате, в спецификациях ранних версий интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми.
Через много лет, получив множество рекламаций (RFC – Request for Comments), началось внедрение средств безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу.

пользователи часто применяют один и тот же логин и пароль

для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.

аутентификации
Применение одноразовых паролей.
Двухфакторная аутентификация - аппаратное или программное средство,

генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

Если во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

2 метод – применение коммутируемой инфраструктуры

3 метод – применение
анти-снифферов

Программы «анти-снифферы» измеряют время реагирования компьютеров сети на запросы. Если слишком длительная реакция на запрос, значит компьютер обрабатывает "лишний" трафик, что является свидетельством несанкционированного подключения хакера в снифферу.

Если канал связи является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст, т.е. непонятную последовательность битов.

4 метод – криптография

внутри корпорации или вне ее выдает себя за санкционированного пользователя.

Это можно сделать двумя способами.
- хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов;
- хакер пользуется авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам.

вставляет ложную информацию или загружает в сеть вирусы







Для двусторонней связи

хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес

2 вариант

3 вариант

IP-спуфинга, необходимо настроить контроль доступа на отсечение любого трафика, поступающего

из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса.

Необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации.

2 метод – фильтрация RFC 2827

3 метод – двухфакторная аутентификация

Аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Этот способ борьбы с IP-спуфингом эффективен только для борьбы с перехватом паролей.

Если канал связи является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст, т.е. непонятную последовательность битов.

4 метод – криптография

с

с

с

не нацелены на получение доступа к вашей сети или на

получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы. Атаки DoS опираются не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать невозможно, потому что вся полоса пропускания будет занята.

функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить

и риск DoS-атак. Эти функции, как минимум, должны включать фильтрацию RFC 2827.

2 метод – применение метода Traffic rate limiting

Лимитирование объема трафика; устройство ограничивает объем трафика до некритичных значений во избежание перегрузки компьютера. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

с

Key 8.1;
Advanced Office Password Recovery 4.01;
Advanced Office Password Breaker 1.40.
Если

в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Пароль

- простой перебор (brute force attack).

Надежность = надежность
пароля самого слабого устройства

Проблема усугубляется тем, что многие предпочитают применять везде один пароль

пароля должна быть не менее восьми символов. Пароль должен включать

символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.).

Заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем.

2 метод – проверка стойкости пароля

3 метод – двухфакторная аутентификация

Аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль.

Если пароль является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст, т.е. непонятную последовательность битов.

4 метод – криптография

с

с

с

транспортные протоколы.
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам,

передаваемым по сети.

Злоумышленник

Пользователь 1

- простой перебор (brute force attack).

Пользователь 2

Пакеты данных

то хакер перехватывает не сообщение, а зашифрованный текст, т.е. непонятную

последовательность битов.

Единственный метод – криптография

с