Причины проблем с защитой информации в компьютерных сетях Концепту- альные ошибки и не продуманно ст протоколов взаимодействия Ошибки в аппаратной и программной реализации протоколов Принудительное использование слабых крипто- алгоритмов Черные ходы в программах и аппаратуре Человек Игнорирование разработчиками сетевого ПО и Интернет- приложений явных рисков в области безопасности Концепту- альные ошибки и не продуманно ст протоколов взаимодействия Причина спама – полное отсутствие аутоинтефикации в Под лозунгом защиты национальной безопасности США и других стран Активные сценарии и запуск приложений из IE, MS WORD и др., прозрачное встраивание аддонов и плагинов Не может фильтровать потоки информации, склонен предпочитать неэффективные, но простые в использовании средства защиты

Цикличность процессов поиска дыр в защите информации и их устранения Создание сетевых протоколов, стандартов и разработка ПО Злоумышленники анализируют средства защиты и находят наиболее простые пути их взлома Производители средств защиты анализируют используемые злоумышленниками атаки и пытаются устранить дыры в средствах защиты путем модификации ПО и аппаратуры

Сетевая безопасность Атакуемые сетевые компоненты: 1. Сервера Сервера предназначены для хранения информации либо предоставления определенных видов услуг. Вследствие этого, основными классами атак против серверов являются "отказ в сервисе" и попытки раскрытия конфиденциальной информации. Специфичными атаками являются атаки, заключающиеся в фальсификации служебных сервисов. 2. Рабочие станции Задачами злоумышленника в отношении рабочих станций являются: получение информации, хранящейся локально на их жестких дисках, получение паролей, вводимых оператором, путем копирования буфера клавиатуры, скрытое от пользователя участие рабочей станции в атаках на сервера. 3. Среда передачи информации В зависимости от среды передачи данных (эфирная, кабельная) и аппаратной реализации линии связи существуют различные возможности для их прослушивания. 4. Узлы коммутации сетей Атаки на узлы коммутации преследуют обычно две цели: нарушение целостности сети ("отказ в сервисе"), либо перенаправление трафика по неверному пути, каким-либо образом выгодному злоумышленнику.

Цели атак на сервера 1)Получение доступа к информации; 2) Получение несанкционированного доступа к услугам – основываются в основном на ошибках или недокументированных возможностях программного обеспечения, предоставляющего подобные услуги; 3) Попытка вывода из рабочего режима определенного класса услуг. Класс подобных атак получил название атака "отказ в сервисе" (англ. deny of service – DoS ). Атака "отказ в сервисе" может быть реализована на целом диапазоне уровней модели OSI (что это за модель – узнаем сегодня позднее): физическом, канальном, сетевом, сеансовом; 4) Попытка изменения информации или услуг, как вспомогательный этап какой-либо более крупной атаки. Примером серверов услуг, часто подвергающимся модификации, являются DNS-сервера. DNS-служба (англ. Domain Name System – служба доменных имен) в сетях Intra- и Inter- Net отвечает за сопоставление "произносимых" и легко запоминаемых доменных имен (например, к их IP-адресам (например, ). При изменении программы DNS-сервиса поток данных, предназначенный, например, для может быть направлен на сервер злоумышленника и, только потом, на настоящий сервер Совет: Узнавать IP-адреса важных серверов и указывать их в явном виде.

Атаки на рабочие станции Основное средство атак: троянские программы (разновидность вирусов, которые предназначены на пробивание сетевой защиты изнутри). Цели атак: получение данных, обрабатываемых или локально хранимых на рабочих станциях, получение паролей, вводимых операторами, участие зараженных троянскими программами рабочих станций в совместных атаках на определенные сервера. Методы обнаружения троянских программ: 1)Стандартное антивирусное ПО: обнаруживает троянские программы, которые получили широкое распространение. Не сможет обнаружить троянскую программу, написанную специально для атаки на единичную заданную рабочую станцию. 2)Утилиты контроля за сетевыми портами: позволяют обнаружить те троянские программы, которые постоянно обеспечивают внешний доступ к зараженной рабочей станции и, следовательно, держат открытым какой-либо сетевой порт транспортного протокола. Например, в Windows можно запустить утилиту netstat –a. 3)Программы контроля за изменениями в системных файлах и служебных областях данных (реестр, загрузочные области дисков) – адвизоры. Совет: не включать важную рабочую станцию в локальную сеть или Интернет.

Атаки на среду передачи информации По возможности прослушивания все линии связи делятся на: 1)Широковещательные с неограниченным доступом (например, инфракрасные и радиоволновые сети); 2)Широковещательные с ограниченным доступом (проводные сети, для которых чтение информации возможно всеми станциями, подключенными к данному проводу); 3)Каналы "точка-точка" (проводные сети, для которых чтение информации возможно только теми станциями, через которые идет пакет от пункта отправки, до пункта назначения. Пример широковещательной сети: сеть Ethernet на коаксиальной жиле и на повторителях (хабах – англ. hub). Защищенную от прослушивания передачу данных в сетях EtherNet производят сетевые коммутаторы типа свитч (англ. switch) и различного рода маршрутизаторы (роутеры – англ. router). Список кабельных соединений по возрастанию сложности их прослушивания : 1)Невитая пара – сигнал может прослушиваться на расстоянии в несколько сантиметров без непосредственного контакта; 2)Витая пара – сигнал несколько слабее, но прослушивание без непосредственного контакта также возможно; 3)Коаксиальный провод – центральная жила надежно экранирована оплеткой : необходим специальный контакт, раздвигающий или режущий часть оплетки, и проникающий к центральной жиле; 4)Оптическое волокно – для прослушивания необходимо вклинивание в кабель и дорогостоящее оборудование, процесс подсоединения к кабелю сопровождается прерыванием связи и может быть обнаружен.

Атаки на узлы коммутации сетей Узлы коммутации сетей представляют интерес для злоумышленника: 1)Как инструмент маршрутизации сетевого трафика (получение доступа к таблице маршрутизации позволяет изменить путь потока возможно конфиденциальной информации в интересующую злоумышленника сторону. Дальнейшие его действия могут быть подобны атаке на DNS-сервер); 2)Как необходимый компонент работоспособности сети (при атаке класса "отказ в сервисе" злоумышленник обычно заставляет узел коммутации либо передавать сообщения по неверному "тупиковому" пути, либо вообще перестать передавать сообщения. Для достижения второй цели обычно используют ошибки в программном обеспечении, запущенном на самом маршрутизаторе, с целью его "зависания"). Пути получения доступа к таблице маршрутизации: 1)Непосредственным администрированием, если злоумышленник каким-либо образом получил права администратора (чаще всего узнал пароль администратора или воспользовался несмененным паролем по умолчанию); 2)Атака на динамическую маршрутизацию пакетов, включенной на многих узлах коммутации. В таком режиме устройство определяет наиболее выгодный путь отправки конкретного пакета, основываясь на истории прихода определенных служебных пакетов сети – сообщений маршрутизации (протоколы ARP, RIP и другие). При фальсификации нескольких служебных пакетов можно добиться того, что устройство начнет отправлять пакеты по пути, интересующем злоумышленника, думая, что это и есть самый быстрый путь к пункту назначения.

Уровни сетевых атак согласно модели OSI Эталонная модель взаимодействия открытых систем OSI (англ. Open Systems Interconnection) была разработана институтом стандартизации ISO с целью разграничить функции различных протоколов в процессе передачи информации от одного абонента другому. Подобных классов функций было выделено 7 – они получили название уровней. Источник Прикладной уровень Уровень представлений Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Прикладной уровень Уровень представлений Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Приемник

Классификация сетевых атак согласно уровню их воздействия Физический уровень отвечает за преобразование электронных сигналов в сигналы среды передачи информации (импульсы напряжения, радиоволны, инфракрасные сигналы). Основной класс атак - "отказ в сервисе". Канальный уровень управляет синхронизацией двух и большего количества сетевых адаптеров, подключенных к единой среде передачи данных. Пример - EtherNet. Основная атака - "отказ в сервисе (производится сбой синхропосылок или самой передачи данных периодической передачей "без разрешения и не в свое время). Сетевой уровень отвечает за систему уникальных имен и доставку пакетов по этому имени (за маршрутизацию пакетов). Пример такого протокола - протокол Интернета IP. Транспортный уровень отвечает за доставку больших сообщений по линиям с коммутацией пакетов (размер пакета обычно небольшое число от 500 байт до 5 килобайт). Транспортными протоколами в сети Интернет являются протоколы UDP и TCP. Основные атаки – отказ в сервисе и сбой в работе (основаны на том, что большие сообщения разбиваются на несколько пакетов, приходящих в разное время). Сеансовый уровень отвечает за процедуру установления начала сеанса и подтверждение (квитирование) прихода каждого пакета от отправителя получателю. В сети Интернет протоколом сеансового уровня является протокол TCP (он занимает и 4, и 5 уровни модели OSI). Широко распространена атака класса DoS ("отказ в сервисе), основанная на свойствах процедуры установления соединения в протоколе TCP. Она получила название SYN-Flood (flood – англ. "большой поток"). Посылается пустой пакет с битом SYN, после чего сервер высылает клиенту подтверждение запроса и ждет третьего пакета (начала связи). Атака заключается в одновременной отправке большого числа запросов с разных IP-адресов с целью переполнения буфера сервера. Уровень представлений обеспечивает необходимое преобразование, кодирование, шифрование и дешифрование данных. Прикладной уровень обеспечивает взаимодействие пользовательских приложений с сетью.

Возможности модификации защиты на уровнях OSI Прикладной уровень Уровень представлений Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Нет принципиально новых возможностей для повышения защищенности Небольшие возможности по совершенству аппаратуры Небольшие возможности по совершенству ПО (фильтры) и аппаратуры Небольшие возможности по совершенству ПО Проблематично модифицировать протоколы, небольшие возможности фильтрации пакетов Криптографическое кодирование информации Заплатки, фильтры, брандмауэры, антивирусы