На этапе выявления целей можно отключить ответы на команды типа finger (запрос информации о пользователе) и nslookup (обращение к системе DNS) в маршрутизаторах и узлах сети.
Развертка ping блокируется с помощью отключения ответа на команды ping.
Для предотвращения сканирования портов необходимо отключить неиспользуемые службы на маршрутизаторах и узлах сети.
На все отключенные средства настроить систему обнаружения вторжений для выявления попыток несанкционированных действий.
Меры предотвращения перехвата носят организационный характер и состоят из следующих частей:
• Ограничение физического доступа к сетевому оборудованию для исключения размещения анализаторов протокола.
• Предотвращение несанкционированного доступа к узлам для исключения размещения средств захвата пакетов.
• Использование в ключевых точках сети сетевых карт, которые нельзя переключить в беспорядочный режим работы.
• Использование программного обеспечения типа cpm и ifstatus для определения интерфейсов, работающих в беспорядочном режиме.
• Применение шифрования данных для защиты содержимого пакетов при передаче через незащищенные сети.
Несанкционированный доступ.
Атаки несанкционированного доступа используют известные уязвимые места в службах аутентификации, закрытых базах данных, сервисах WEB и FTP. Существует много способов выполнения этой атаки. Рассмотрим основные.
Парольная атака – атакующий пытается получить пароль доступа в систему с помощью специального словаря для подбора паролей (словарная атака).
Доверительный доступ (Trust exploitation) – атакующий не имеет пароля на доступ к системе, но получил доступ к узлу Х, который имеет пароль. В результате, злоумышленник получает пароль узла Х, который нелегально использует для доступа к системе.
Перенаправление портов (Port redirection) – это разновидность атаки доверительного доступа. Например, на firewall открыт порт 45, а надо получить доступ к сервису FTP (порт 21). Атакующий получает доступ к узлу Х внутри системы и устанавливает программу перенаправления портов. После этого, на узел X выполняется запрос по порту 45, на узле происходит перенаправление запроса на сервер на порт 21. Перенаправление ответа происходит в обратном порядке.
Атака «человек по середине» (Man-in-the-middle attack) – атакующий размещается между двумя легальными узлами и читает или изменяет данные, которыми обмениваются эти узлы.
Атака переполнения буфера – Программы часто пишутся на языке C или C++. Атакующий превышает размер буфера программы, что приводит к необходимости перезаписи данных. В этот момент туда можно внедрить вредоносный код.
Методы противодействия атакам несанкционированного доступа.
Для снижения вероятности несанкционированного доступа необходимо соблюдать ряд правил.
Проведение парольной атаки усложняется, если реализуется политика выбора трудноугадываемых и труднораскрываемых паролей и происходит частая смена паролей. Необходимо сократить число точек доступа к сети и использовать сервер AАА (аутентификации, авторизации и аудита) для управления доступом, использовать защищенные протоколы удаленного доступа (РРР, CHAP или MS-CHAP).
Атаки доверительного доступа предотвращаются с помощью защиты доступа к корневому уровню или уровню администратора, а так же процедур аудита и мониторинга доверительных отношений.
Атака перенаправления портов выявляется при проверке системы на предмет появления вирусов и "троянских коней", запросов на открытие портов от узлов, с которых такие запросы не ожидаются.
Атаку «человек по середине» можно блокировать с помощью проверки защищенности доверительных отношений между узлами и замены значений конфигурации, установленных по умолчанию.
Атака переполнения буфера предотвращается путем выключения всех ненужных сервисов и команд и установки защищенных версий программ.
Блокирование сервиса.
Атака блокирования сервиса (DoS - Denial of Service) заключается в посылке большого числа запросов на атакуемый узел или сеть, что приводит к перегрузке атакуемого ресурса и замедлению или прекращению обслуживания легальных пользователей.
Примером DoS атаки является посылка пакетов нестандартного формата, которые приводят к выходу из строя или замедлению работы атакуемого узла. Эти пакеты называются «отравляющими» (poisonous packet).
Другой способ – посылка большой последовательности пакетов, приводящая к превышению пропускной способности линии связи.
Распределенная атака блокирования сервиса (DDoS - Distributed Denial of Service) имеет те же цели что и DoS атака, но происходит с многих точек одновременно.
Можно выделить три типа DoS атак.
Атака Ping смерти (Ping of Death) - злоумышленник посылает пакет ICMP запроса (ICMP echo request) размером больше максимально разрешенного 65 535 байт. Атакуемый узел будет собирать фрагменты такого запроса, что приведет к заполнению его буфера и перегрузке системы.
Атака «лавина ping» (Smurf Attack) - злоумышленник посылает большое количество ICMP запросов по широковещательному адресу с IP-адресом источника принадлежащему этой сети. Все узлы в сети посылают ICMP ответы, загружая сеть. Особенно чувствительна к такой атаке сеть с множественным доступом.
Лавина SYN (TCP SYN Flood) – злоумышленник посылает на сервер запросы на открытие сеансов TCP (TCP SYN) с несуществующими IP-адресами отправителя или IP-адресом самого сервера. Сервер открывает сеанс связи и ожидает ответ. Таким образом, накапливается множество открытых наполовину сеансов связи и легальный пользователь не может получить доступ к данному узлу.
При создании сеанса TCP с собой происходит зацикливание и перезагрузка сервера.