Защита от сетевых атак. Сетевая защита - второй уровень защиты Symantec

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Существует огромное множество различных конфигураций компьютеров, операционных систем и сетевого оборудования, однако, это не становится препятствием для доступа в глобальную сеть. Такая ситуация стала возможной, благодаря универсальному сетевому протоколу TCP/IP, устанавливающему определенные стандарты и правила для передачи данных через интернет. К сожалению, подобная универсальность привела к тому, что компьютеры, использующие данный протокол, стали уязвимы для внешнего воздействия, а поскольку протокол TCP/IP используется на всех компьютерах, подключенных к интернету, у злоумышленников нет необходимости разрабатывать индивидуальные средства доступа к чужим машинам.

Сетевая атака – это попытка воздействовать на удаленный компьютер с использованием программных методов. Как правило, целью сетевой атаки является нарушение конфиденциальности данных, то есть, кража информации. Кроме того, сетевые атаки проводятся для получения доступа к чужому компьютеру и последующего изменения файлов, расположенных на нем.

Есть несколько типов классификации сетевых атак. Один из них – по принципу воздействия. Пассивные сетевые атаки направлены на получение конфиденциальной информации с удаленного компьютера. К таким атакам, например, относится чтение входящих и исходящих сообщений по электронной почте. Что касается активных сетевых атак, то их задачей является не только доступ к тем или иным сведениям, но и их модификация. Одно из наиболее значимых различий между этими типами атак заключается в том, что обнаружить пассивное вмешательство практически невозможно, в то время как последствия активной атаки, как правило, заметны.

Кроме того, атаки классифицируются по тому, какие задачи они преследуют. Среди основных задач, как правило, выделяют нарушение работы компьютера, несанкционированный доступ к информации и скрытое изменение данных, хранящихся на компьютере. К примеру, взлом школьного сервера с целью изменить оценки в журналах относится к активным сетевым атакам третьего типа.

Технологии защиты

Методы защиты от сетевых атак разрабатываются и совершенствуются постоянно, однако полной гарантии ни один из них не дает. Дело в том, что любая статичная защита имеет слабые места, так как невозможно защититься от всего сразу. Что же касается динамических методов защиты, таких как статистические, экспертные, защиты с нечеткой логикой и нейронные сети, то они тоже имеют свои слабые места, поскольку основаны преимущественно на анализе подозрительных действий и сравнении их с известными методами сетевых атак. Следовательно, перед неизвестными типами атак большинство систем защиты пасует, начиная отражение вторжения слишком поздно. Тем не менее, современные защитные системы позволяют настолько осложнить злоумышленнику доступ к данным, что рациональнее бывает поискать другую жертву.

Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.

Таблица 3. Основные классы сетевых атак

Класс сетевой атаки	Описание класса
1. Исследование	Получение общей информации о компьютерной системе (КС)
1.1 Социотехника	Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п.
1.2 Непосредственное вторжение	Получение информации посредством физического доступа к оборудованию сети
1.3 Разгребание мусора	Получение информации из мусорных корзин или архивов
1.4 Поиск в WEB	Получение информации из интернета посредством общедоступных поисковых систем
1.5 Изучение WHOIS	Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем
1.6 Изучение DNS зон	Получение информации посредством использования сервиса доменных имен
2. Сканирование	Получение информации об инфраструктуре и внутреннем устройстве КС
2.1 Поиск активных устройств	Получение информации об активных устройствах КС
2.2 Трассировка маршрутов	Определение топологии КС
2.3 Сканирование портов	Получение информации об активных сервисах, функционирующих в КС
3. Получение доступа	Получение привилегированных прав на управление узлами КС
3.1 Переполнение стека	Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении
3.2 Атака на пароли	Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей
3.3 Атаки на WEB - приложения	Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС
3.4 Сниффинг	Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС
3.5 Перехват сеанса связи
Эксплуатация полученных прав для достижения целей взлома
4.1 Поддержание доступа	Установка систем удаленного администрирования
4.2 DOS-атаки	Вывод из строя устройств и отдельных сервисов КС
4.3 Обработка конфиденциальной информации	Перехват, копирование и/или уничтожение информации
5. Заметание следов	Сокрытие факта проникновения в КС от систем защиты
5.1 Стирание системных логов	Удаление данных архивов приложений и сервисов КС
5.2 Сокрытие признаков присутствия в сети	Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.)

Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз .

Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.

Непосредственное вторжение:

ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);

ѕ физическая безопасность оборудования (механические, электронные замки);

ѕ блокировка компьютера, хранители экрана;

ѕ шифрование файловой системы.

Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.

Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.

Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.

Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.

Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.

Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.

Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.

Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.

• 1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.
• 2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.

Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.

Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.

Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.

Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.

Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.

IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.

• 1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.
• 2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.
• 3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.

Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.

DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).

Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.

Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.

Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.

Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.

Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.

Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.

Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.

дипломная работа , добавлен 21.06.2011


Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.

курсовая работа , добавлен 16.03.2015


Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.

курсовая работа , добавлен 21.01.2011


Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

курсовая работа , добавлен 04.11.2014


Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".

курсовая работа , добавлен 20.04.2015


Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.

презентация , добавлен 24.01.2014


Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.

контрольная работа , добавлен 30.11.2015


Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.

контрольная работа , добавлен 17.01.2015

Задание. Установить и настроить межсетевой экран.

Нижеприведенный текст взят с одного из сайтов с сохранением стиля автора.

Изначально межсетевой экран (файервол) служил для ограничения доступа к локальным сетям извне. Сейчас популярны комплексные решения. Если речь идет о "профессиональном" применении, то это отдельное устройство, умеющее не только фильтровать пакеты, но и обнаружить попытку сетевой атаки. Нам, простым пользователям, достаточно иметь программный файервол. Даже "простенький" файервол не ограничивается контролем интернет-трафика, он предупреждает о любой подозрительной активности приложений, спрашивая пользователя о том, что разрешать делать приложению, а что - нет. Это является и "недостатком". Первое время придется отвечать на вопросы, причем отвечать правильно. Я видел ситуации, когда пользователь ошибочно заблокировал доступ в интернет своему интернет-браузеру. В итоге - соединение с провайдером устанавливается, но, ни один сайт не открывается.

К файерволам мы вернемся очень скоро, ведь настала пора перейти к чисто сетевой безопасности.

Прежде, чем освещать сетевые атаки, неплохо ознакомиться с принципами функционирования сетей. Эти знания могут оказаться полезными и для устранения неполадок своими силами. Тех, кто желает всерьез изучить проблему, отсылаю к серьезным материалам. Простому человеку не обязательно читать всякие RTFSы. Моя цель - помочь пользователю обоснованно выбрать уровень защиты. Здесь приходится руководствоваться необходимой достаточностью, а определение этой "достаточности" - индивидуально.

Если вы - пользователь Интернет, ваш компьютер постоянно отправляет и получает данные. Отправляются запросы на получение информации, сама информация (например, почта). Получаются служебные ответы (готовность сервера, данные о размере скачиваемого файла и т.д.), и сами данные.

Представим себе работу двух штабов дружественных армий во время совместных учений. Российский генерал просит китайского поддержать наступление огнем с моря. Как происходит обмен информацией? Составляется письмо, передается шифровальщику, уже зашифрованное - радисту. Последний отстукивает письмо в эфир азбукой Морзе. Китайский радист получает "морзянку", шифровальщик расшифровывает, с удивлением обнаруживает, что послание на русском языке и отдает его переводчикам. Только теперь можно считать, что письмо дошло до адресата. Заметим, что нашим генералам по рангу не положено задумываться об азбуке Морзе, методах шифрования и радиопередатчиках. Также, как пользователь не обязан ничего знать о семи сетевых уровнях взаимодействия. Самым интересным для нас является IP - протокол интернета. Этот протокол должен понимать любой компьютер в сети Интернет, как все радисты способны пользоваться "морзянкой". Известно, что, при организации связи часто используются кабельные линии. Если на пути встречается преграда, например - река, то в место разрыва по берегам устанавливают два приемо-передатчика (ретрансляторы, это выгоднее, чем тянуть по дну кабель), далее могут использоваться и спутниковые каналы, и снова кабельная линия. Два "радиста" используют морзянку и могут ничего не знать о методах передачи сигнала по кабельным или радиоканалам с их аппаратурой уплотнения. Сети передачи данных, на которых базируется интернет, столь же сложны, но оконечные устройства, например Ваш компьютер, понимает IP, независимо от установленной операционной системы.

В соответствии с концепцией IP, данные преобразуются в отдельные "пакеты", которые могут (но не обязаны) нести в себе помимо куска данных и информации о пункте отправки и назначения, сведения о том, кусок чего именно содержится в пакете, как его стыковать с остальными частями. Понятно, что не существует идеальных каналов для передачи данных, а значит часть пакетов будет содержать ошибки, пакеты достигают цели в "неправильной" последовательности или вообще не достигают. Иногда это не критично. Поскольку теряется лишь небольшая часть пакетов, передачу можно повторить несколько раз (разумный подход, если сообщение небольшое). Сетевик увидит здесь дейтаграммный протокол (UDP), который базируется на протоколе IP и не гарантирует доставку сообщений. Протоколы TCP/IP располагают средствами для надежной доставки за счет установления виртуального соединения. В процессе такого соединения общаются уже две пользовательские программы. "Принимающая" сторона уведомляется о количестве отправленных пакетов и способе их стыковки, и, если какой-то пакет не дошел, просит повторить отправку. Здесь уже можно сделать два практических вывода. Первый: если сигнал сильно искажается или много помех, то значительная часть пакетов проходят с ошибками, что приводит к множеству повторных отправок, то есть, снижается реальная скорость передачи данных. Отсюда и возникает понятие ширины (пропускной способности) канала. Второй вывод: если отправит все заявленные пакеты кроме одного, принимающая сторона не закроет виртуального соединения, ожидая опаздывающего. Если насоздавать множество таких соединений, принимающему компьютеру будет тяжко, поскольку под каждое соединение резервируется участок памяти, а память не резиновая. По такому принципу строили сетевые атаки, "подвешивая" компьютер жертвы.

Чтобы понять процесс установления соединения, необходимо рассмотреть систему идентификации компьютеров в сети. Если мы говорим об интернет, то у каждого компьютера есть уникальное имя, называемое IP - адресом. выглядит он может примерно так: 213.180.204.11 Трудновато для запоминания, поэтому придумали доменные имена, состоящие из "нормальных" символов, например www.yandex.ru. Если в командной строке Вашего интернет-браузера набрать http://213.180.204.11, то это будет равноценно http://www.yandex.ru. Каждое доменное имя соответствует определенному IP - адресу. Как я узнал IP знаменитой поисковой системы? Можно использовать специальную программку, а можно выполнить команду "ping". Если у Вас Windows, нажмите кнопку "Пуск", кликните на пункте "выполнить". Нам предлагают выполнить на компьютере какую-нибудь команду, скомандуем cmd (введем cmd в поле "открыть"), откроется окно командного интерпретатора. Теперь мы можем видеть вводимые команды и результат их выполнения. Итак, командуем ping yandex.ru, жмем "Enter" и получаем результат. Результат будет положительным, если ваш компьютер подключен к Интернет. В этом случае Вам покажут время прохождения пробных пакетов до сервера yandex, а заодно ip - адрес. В роле "переводчика" выступает DNS - сервер, специальный компьютер, хранящий таблицы соответствия доменных имен ip-адресам, причем таких компьютером может быть много. Интернет изначально задумывался как отказоустойчивая сеть (для военных в США), а надежность должно было обеспечить отсутствие единого центра. Группа пакетов, отправленная в рамках одного соединения, может идти разными путями (на то она и всемирная паутина), управляется этот процесс маршрутизаторами, хранящими различные пути до различных подсетей. Теперь понятно, почему очередность поступления пакетов адресату может отличаться от исходной. Также понятно, что, если злодей подменит запись в таблице адресов, то вместо нужного сайта клиент может угодить на сайт-двойник, где введет свои пароли и другие данные. Утешает то, что подмена таблиц публичных DNS является весьма трудным делом. Но, следует помнить, что браузер первым делом просматривает локальную таблицу, хранящуюся в специальном файле на Вашем компьютере. Если вирусу удастся внести туда свою запись, то введя www.yandex.ru, Вы запросто можете попасть на совершенно другой сайт, быть может, внешне похожий. Если ваш файервол сообщает, что какая-то программа пытается изменить файл с таблицей адресов, стоит обследовать компьютер на предмет опасной заразы.

Для установления соединения мало знать адрес компьютера. Непременными атрибутами запроса на подключение являются протокол (язык, на котором решено общаться) и номер порта, к которому мы подключаемся. Протокол мы каждый раз указываем в адресной строке браузера (тот самый http, хотя можно набрать ftp и связаться с ftp-сервером, если он есть на сервере). Номер порта обычно явно не указывается, в этом случае для http подразумевается порт 80, на котором "висит" интернет-сервер (не в смысле "мощный компьютер", а в смысле "программа, обслуживающая клиентские приложения". На компьютере может быть запущено множество сервисов (тот же ftp), каждый слушает "свой" порт. Если интернет-браузеры обеспечивают в основном подключение по http и просмотр web-страниц, то для подключения к другим сервисам существуют специальные программы, как стандартные, так и "хакерские" Если установлена программа ICQ, то она открывает свой порт и "слушает" его на предмет желающих подключиться и пообщаться. Чем больше на машине запущено сетевых сервисов, тем больше вероятность, что среди них найдется уязвимый, ведь каждый открытый порт - дверь систему, а надежен ли замок - тот еще вопрос. Существует целый класс программ - сканеры портов, которые опрашивают заданный диапазон портов, перебирая номера и выдают список открытых. Забегая вперед, скажу, что есть "сканеры безопасности", которые не только сканируют порты, но и исследуют в автоматическом режиме целевой хост на наличие всех известных уязвимостей.

Итак, сетевые атаки. Банки и без моей помощи разберутся с хакерами, мне ближе проблемы простого пользователя. Об этом и поговорим.

Удаленный взлом компьютера становится не таким простым делом. Если интересно, кто и как занимался этим лет пять назад, вот ссылка на приговор горе-хакерам, в котором описана вся технология взлома (в начале и в конце документа). Во времена Windows 98 любой школьник мог проделать такие штуки. С Windows XP эти фокусы не проходят, а методы взлома Linux знают только профи, которые и у себя в банке неплохо зарабатывают. Для проникновения на чужой компьютер необходимо иметь теперь приличную квалификацию, а персонального внимания толкового злодея удостаиваются не все. Мой компьютер вряд ли кого-то заинтересует. Другое дело, что сканированием портов все же многие балуются. Уж не знаю, чего они там ищут, но раздражает сильно. Трафик то я оплачиваю! Замечу, что адрес, с которого осуществляется сканирование, зачастую принадлежит ничего не подозревающему добропорядочному пользователю. Скорее всего, у последнего поселился червь, выискивающий очередную жертву.

Если Ваш компьютер кого-то и заинтересовал, то это близкие Вам люди. Я имею в виду деловых партнеров, начальство и ревнивых супругов. В интернете можно найти массу шпионских программ, типа клавиатурных шпионов. Если на компьютере стоит такая программа, то все, что набрано на клавиатуре, включая пароли к электронной почте, записывается в специальный файл и может быть негласно отправлено по электронной почте "хозяину".

Даже если Вам нечего скрывать, трояны, живущие в компьютере, могут интенсивно загружать линию, увеличивая трафик и мешая прохождению полезной информации. Кроме того, неграмотно написанные программы часто отнимают у компьютера системные ресурсы, а то и нарушают целостность операционной системы. Как плачевный итог - переустановка и связанные с этим потеря времени и денег.

Теперь рассмотрим наиболее популярные способы заполучить на компьютер трояна (как этого избежать - в следующей главе).

Способ первый - заразить компьютер компактным вирусом, единственной функцией которого является закачка из интернета и инсталляция полноценного "троянского коня"

Способ второй - зайти "не на тот" сайт. А уж заставить открыть страницу, содержащую опасное содержимое - дело техники и психологии.

Способ третий - дать злоумышленнику посидеть за вашим компьютером. Известны также случаи, когда посетитель в организации просто незаметно вставлял специально приготовленную "флэшку" в USB-порт, дальше - понятно.

Еще одна неприятная реалия сетевой жизни - сниффинг . По простому - перехват трафика. Из предыдущей главы (руководствуясь здравым смыслом) ясно, что исходящие пакеты уходят в некотором смысле "в эфир". По крайней мере, в пределах одной подсети они доступны всем, а это - не так уж мало. Другое дело, что "порядочный" компьютер воспринимает только адресованную ему информацию. Если же злодей установил программу - сниффер (нюхач), то может читать передаваемые данные. Восстановить весь поток - невыполнимая задача, поскольку соединение с источником не устанавливается и запросить повторную отправку потерянных пакетов не удастся (это была бы наглость - подслушивать соседей за стенкой, да еще переспрашивать, когда не расслышали). Сниффинг используют для перехвата паролей, передающихся в открытом (незашифрованном) виде.

Сознавая уровень реальной опасности, можно разумно подойти к защите своего компьютера от различных напастей. Здесь поход простой: стоимость сейфа не должна превышать стоимость хранимых в нем ценностей. Многое Вы можете сделать сами, с этого и начнем.

1. Устанавливаем нормальную операционную систему. Исходить приходится из того, что большинству пользователей подходят ОС от Microsoft. В этом случае вариантов нет - Windows XP c SP2 (как минимум). SP2 - это второй пакет обновлений, закрывший многие дыры в безопасности. Сгодилась бы и Windows 2000, но ее перестали поддерживать, а уязвимости находят все новые и новые.

2. Настраиваем минимальную защиту: включаем брандмауэр (если установлен SP2, то включен по умолчанию) для всех соединений. Делается это так: Пуск>Панель управления>Сетевые подключения, откроется окно со значками настроенных подключений. Кликаем правой кнопкой мыши по значку подключения, выбираем пункт "свойства", жмем на вкладку "дополнительно", потом в зоне "брандмауэр Windows" нажимаем кнопку "параметры". Если установлено значение "выключить", меняем его на "включить" и подтверждаем кнопкой ОК.

3. Устанавливаем антивирусное программное обеспечение. Как бы ни ругали антивирус Касперского (притормаживает работу компьютера), разумной альтернативы я не вижу. Обновляем антивирусные базы через интернет до актуального состояния. Теперь можно покопаться в настройках (в разных версиях это выглядит по-разному, поэтому подробно описывать не буду). Имеет смысл отключить ежедневную полную проверку компьютера. Обычно я отключаю автоматическое обновление, поскольку большинство компьютеров не подключены к Интернет постоянно.

4. Находим в "Панели управления" раздел "администрирование", в нем "службы" и отключаем все ненужное. Первым делом - службу сообщений. Объясню, почему. Может быть вы сталкивались с ситуацией, когда во время работы в Интернет периодически всплывает сообщение, в котором вас пугают разными ошибками в системе и прочими вирусами, предлагая зайти на такой-то сайт, где вам помогут избавиться от проблем. На самом деле, посетив такой сайт, эти проблемы можно нажить. Служба сообщений предназначена прежде всего для работы в локальной сети, с ее помощью администратор сети может оповещать пользователей о чем либо. Злодеи же используют ее для заманивания на сайты-ловушки. Еще можно смело отключать "Telnet", "Удаленный реестр" и "Сервер", если ваш компьютер не планируется использовать в качестве сервера. Чем меньше служб запущено, тем быстрее работает компьютер. Там еще много чего можно отключить, но, действовать следует с осторожностью. Если не уверены, лучше пригласите специалиста.

5. Если Вы не сделали этого ранее, установите пароли для всех пользователей позаковыристей. Последнее означает, что хороший пароль должен быть длинным и состоять из цифр, букв в разных регистрах и специальных символов.

Когда я настраиваю клиентам компьютер, то обычно останавливаюсь на этом. Для большинства это вполне достаточный уровень защиты. Тем, кто всерьез озабочен безопасностью, следует предпринять еще ряд мер предосторожности.

6. Наделить всех пользователей только минимально необходимыми правами. Например, запретить всем, кроме "Администратора", устанавливать программы. Даже если Вы единственный пользователь, создайте вторую учетную запись с ограниченными правами, и входите в систему под именем Администратор только в случае необходимости. Дело в том, что некоторые уязвимости позволяют злодею исполнять на компьютере команды от имени текущего пользователя. А если у такового прав - минимум, то и использовать уязвимость не удастся.

7. Иногда при вводе пароля, например для доступа к своему почтовому ящику, система предлагает сохранить пароль. Я всегда отказываюсь, чего и Вам советую. Это - хорошая привычка.

8. Установите полноценный файервол. Встроенный брандмауэр Windows многие действия программ попросту не отслеживает.