ping sweep
1 PING sweep
2 ping sweep
См. также в других словарях:
Ping sweep — A Ping sweep is a technique used to determine which of a range of IP addresses map to live hosts. It consists of ICMP ECHO requests sent to multiple hosts. If a given address is live, it will return an ICMP ECHO reply.A ping is often used to… … Wikipedia
ping\ test — A method or finding the gay man in the room. AKA: a gaydar sweep. [Many don t know it, but Gaydar is a surname for several persons in the US.] Boobies jiggle is a good ping test, but I think clang, clang, clang went the trolley is more accurate … Dictionary of american slang
ping\ test — A method or finding the gay man in the room. AKA: a gaydar sweep. [Many don t know it, but Gaydar is a surname for several persons in the US.] Boobies jiggle is a good ping test, but I think clang, clang, clang went the trolley is more accurate … Dictionary of american slang
fping — Тип Компьютерная безопасность, Управление компьютерной сетью Операционная система Все BSD платформы (FreeBSD/NetBSD/OpenBSD/Apple Mac OS X), Все POSIX (Linux/BSD/UNIX like OSes) Последняя версия 2.4b2 to ipv6 (16 января, 2002) Лицензия Historical … Википедия
Idle scan — The idle scan is a TCP port scan method that through utility software tools such as Nmap and Hping allow sending spoofed packets to a computer. This sophisticated exploit is dual hatted as a port scanner and maps out trusted IP relationships… … Wikipedia
Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему. Сетевая … Википедия
china — /chuy neuh/, n. 1. a translucent ceramic material, biscuit fired at a high temperature, its glaze fired at a low temperature. 2. any porcelain ware. 3. plates, cups, saucers, etc., collectively. 4. figurines made of porcelain or ceramic material … Universalium
China — /chuy neuh/, n. 1. People s Republic of, a country in E Asia. 1,221,591,778; 3,691,502 sq. mi. (9,560,990 sq. km). Cap.: Beijing. 2. Republic of. Also called Nationalist China. a republic consisting mainly of the island of Taiwan off the SE coast … Universalium
Liste De Jeux Amstrad CPC — Listes de jeux vidéo 0 9 A B C D E F G H I J K L M N O P Q R S T … Wikipédia en Français
Liste de jeux Amstrad CPC — Liste des listes de jeux vidéo Cette liste reprend tous les jeux de la gamme Amstrad CPC triés par ordre alphabétique. Sommaire … Wikipédia en Français
Что такое ping sweep
19.11.2021
Игра в кальмара, искусственный интеллект и цифровизация. Как прошла 6-ая конференция TECH WEEK
19.11.2021
SMART RUSSIA 2021 Международная конференция
16.11.2021
Систему автоматического видеосопровождения самолётов при посадке создадут на девятом хакатоне по искусственному интеллекту в Челябинске
15.11.2021
Открытая конференция Института системного программирования РАН состоится в декабре
02.11.2021
21.09.2021
Поможет ли стратегия развитию Open Source в России?
18.08.2021
Платформенный бизнес в России
16.05.2021
08.04.2021
KPI: стоит ли овчинка выделки?
13.02.2020
Чат-бот CallShark не требует зарплаты, а работает круглосуточно
24.12.2019
До встречи в «Пьяном Сомелье»!
21.12.2019
Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций
04.12.2019
ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса
04.06.2019
Маркетолог: привлекать, продавать, продвигать?
Рубрика: Тема номера / Технологии безопасности
Атаки DDoS. Часть 3. Разведка
Любые военные действия, кибервойны – не исключение, начинаются с разведки, выявления слабых мест в обороне потенциальной жертвы
Существуют различные методики проведения разведки информационных систем для выявления целей последующих кибератак.
В рамках цикла по DDoS-атакам, начатого в [1], [2], имеет смысл рассмотреть сканирование. Что оно собой представляет? Какие угрозы несет? Почему так важно ему противостоять? Начнем с определений. Что такое сканирование? Сканирование – это набор процедур, позволяющих идентифицировать узлы, порты и сервисы целевой системы. Сканирование сети позволяет злоумышленнику собрать профиль атакуемой организации [3].
Согласно руководству по этичному хаккингу (Ethical Hacking and Countermeasures EC-Council) [3] различаются следующие типы сканирования:
Некоторые компании, специализирующиеся на защите от DDoS, не рассматривают сканирование в качестве атаки и не считают нужным ему противостоять. Действительно, на первый взгляд никакого вреда системе ведь нет, тем не менее с таким подходом трудно согласиться, ведь сканирование предваряет атаку, позволяя злоумышленнику выяснить, какие сервисы работают в целевой системе, а значит, подготовить и провести целенаправленную атаку против выявленных сервисов и их уязвимостей (см. рис. 1). Следовательно, бороться с разведкой злоумышленников необходимо.
Рисунок 1. Цели сканирования
При этом будет нелишним отметить, что само по себе сканирование не всегда злонамеренное действие, все зависит от его целей. Службы информационной безопасности или сотрудники ИТ вполне могут прибегнуть к сканированию для выяснения уязвимостей инфраструктуры или видимости сервисов из внешней сети.
В сущности, нередко все как раз и начинается с сетевого сканирования, именно оно позволяет выявить узлы сети предприятия, их IP-адреса, открытые порты, определить операционную систему, а значит, становятся понятны теоретически возможные уязвимости, что уже не так мало для организатора атаки.
Выявляем структуру сети. Самый простой способ сканирования – ICMP scanning [4]. Принцип работы основан на протоколе ICMP, и такой тип сканирования позволяет выяснить «живые» узлы в сети и построить схему сети с перечнем ее узлов. Суть метода заключается в отправке ICMP-запросов узлам сети, если компьютер или иное устройство, работающее со стеком протоколов TCP/IP, активно, то будет отправлен ответ. Это так называемый ping sweep или ICMP sweep (см. рис. 2). Существует огромное количество средств, позволяющих выполнить подобное сканирование [5].
Рисунок 2. Сканирование ICMP sweep
Сканирование портов. Следующий этап разведки – выявление открытых портов. По сути своей, это дает возможность определить, какие сервисы работают на удаленном узле, список которых мы уже получили в результате предыдущего сканирования. Кроме того, из анализа полученных пакетов можно также выявить операционную систему и ряд других важных параметров (наличие фильтра пакетов, например).
Здесь мы говорим о TCP-сканировании. Его принцип основан на особенностях работы TCP. В сущности, очень похожий механизм взаимодействия принят в авиации при переговорах пилотов с диспетчером, включающий запрос, ответ с указанием, подтверждение полученной инструкции. Такой способ взаимодействия если и не исключает полностью вероятность непонимания, то по крайней мере существенно снижает такую вероятность.
Это могло бы выглядеть так:
Что тут происходит? Пилот обратился к диспетчеру с запросом о разрешении руления и его маршруте. Диспетчер разрешил руление и определил маршрут следования. Пилот подтвердил маршрут следования и разрешение диспетчера. Все, можно двигаться – маршрут получен.
Очень похожее происходит и в TCP-взаимодействии. Здесь используется схема three-way-handshake [6], [7] или «трехэтапного» согласования, встречается также термин «трехэтапное квитирование», которое позволяет синхронизировать передающий и получающий узлы и установить сессию (см. рис. 3.), что, в сущности, идентично примеру с радиопереговорами.
Используя этот легальный алгоритм, злоумышленник может выяснить, какие порты открыты на сервере, то есть понять, какие сервисы используются в системе, какая операционная система. Для этого существует несколько эффективных методик.
Некоторые методики сканирования портов. Самый эффективный и несложный способ сканирования – Full Connect Scan (Full Open Scan) [3], [9]. Его принципы как раз показаны на рис. 3. Происходит попытка выполнить трехэтапное согласование (three-way-handshake) [6], [7] с интересующими исследователя узлами. Если искомый порт открыт, то мы получаем от него сообщение SYN+ACK, после этого посылаем узлу RST (сброс сессии), если закрыт, то нам приходит RST от проверяемого узла. Надо отметить, что такой способ сканирования легко идентифицируется, стало быть, противостоять ему несложно.
Рисунок 3. Установка TCP-сессии
Другой способ сканирования сети называется Stealth Scan (Half-open Scan) [3], [8]. В этом случае атакующий старается обойти защиту брандмауэра и замаскироваться под обычный сетевой трафик с тем, чтобы избежать фиксации события сканирования в логах системы. Здесь речь не идет о согласовании, исследователь просто отправляет SYN-пакет на интересующий порт требуемого сервера. Если в ответ приходит SYN+ACK, то порт открыт, если RST, то порт закрыт.
Такой способ сканирования более изощренный, однако современные системы предотвращения вторжений должны уметь ему противостоять.
Не менее известные методы сканирования – Xmas Scan и Null Scan, однако мы не будем их рассматривать ввиду того, что защита от них реализована в рамках современных операционных систем Microsoft, поэтому они не будут представлять для нас большого интереса. Особенность этих типов сканирования – стелс режим работы, то есть без установки сессии. Впрочем, посмотреть детали можно в курсе Ethical Hacking [3] или в книге «Network Security Test Lab» [8]. Эти типы сканирования эффективны только для операционных систем, где TCP-стек работает на основе RFC 793 [7]. Все современные операционные системы от Windows Vista и старше не подвержены этому риску.
Пожалуй, наиболее интересным способом сканирования является Idle Scan [3], [9]. Основная идея заключается в том, что злоумышленник может просканировать жертву, не показывая ей своего IP-адреса, то есть с точки зрения сканируемого узла злоумышленник с ней как бы и не общается. Используется «подставной» узел, который и может быть определен системами противодействия вторжениям в качестве источника атаки. Это весьма разумная методика, так называемый спуфинг, когда адрес отправителя подменяется на адрес другого устройства. Надо сказать, что «подставным» узлом или «зомби» может стать компьютер, который обладает определенными уязвимостями [9]. Операционные системы, как правило, должны быть обновлены, однако это не всегда так, и атакующий всегда может найти «помощников», кроме того, в качестве «зомби» может быть использован сетевой принтер или другое сетевое устройство, которое работает с базовой функциональностью стека TCP/IP.
Это сканирование использует поле Identification в IP-заголовке (IPID) [10]. Значение IPID увеличивается на единицу в каждом следующем пакете, который отправляет узел. В сущности, это и есть уязвимость, поскольку появляется возможность предсказать, какое количество пакетов было передано между двумя пакетами, которые были получены. Современные операционные системы используют случайное значение для поля IPID, однако, как уже было упомянуто выше, всегда можно найти решение. Для современных Unix и Windows систем от Windows Vista и старше эта проблема уже потеряла свою актуальность [9]. На первом шаге (1) атакующий обращается к подставному устройству со стандартным SYN-пакетом (см. рис. 4).
Рисунок 4. Idle-сканирование (порт на сервере открыт)
Устройство отвечает пакетом SYN ACK (2) или SYN RST, что более вероятно, однако из заголовка пакета атакующему становится виден IPID. Его-то и надо запомнить (3). Далее атакующий обращается к интересующему его серверу (4), при этом подменяет свой IP-адрес на адрес подставного узла, то есть маскируется, используя спуфинг (подмену адресов). В ответ на этот запрос сервер, если порт открыт, посылает SYN/ACK на подставной адрес (5). Мы ведь выполнили подмену. Не зная, что делать с этим пакетом, подставной компьютер в ответ пошлет RST (сброс сессии), при этом увеличит значение своего IPID. В нашем случае он станет равным 30132 (6). Если порт закрыт, то сервер пошлет сброс сессии (RST) – см. рис. 5 (5).
Рисунок 5. Idle-сканирование (порт на сервере закрыт)
IPID подставного узла остался неизменным, в нашем случае 30131, поскольку «зомби» никому больше ничего не отправлял. Теперь останется еще раз обратиться к «зомби», как мы это уже делали выше, выявить его IPID, сравнить его с имеющимся у нас значением. Если IPID увеличился на 2, то порт открыт.
Еще один важный момент, который хотелось бы отметить, – операционные системы имеют свою специфику при работе со стеком TCP/IP. Используя эти особенности при анализе пакетов, полученных при сканировании, вполне возможно выяснить, с какой ОС мы имеем дело, на этих принципах построены методики сканирования Banner Grabbing [11]. Задача – выявить информацию о вычислительной системе и ее уязвимостях, что позволит атакующему использовать эти знания для своих последующих деструктивных действий. Любой современный сканер предоставит атакующему эту информацию [5].
Нетрудно заметить, что все рассмотренные технологии сканирования базируются на штатном поведении узлов, а значит, любой компьютер или иное сетевое устройство является потенциально уязвимым.
Злоумышленник обладает возможностью сбора и анализа полученной информации о структуре сети, сервисах, уязвимостях систем. Тем самым предоставляется потенциальная возможность подготовить целевую атаку против определенных узлов и сервисов.
Следовательно, службы ИБ организации должны внимательно отнестись к вопросам сканирования и обеспечить эффективное противодействие подобной разведке. Рассматривая средства противодействия вторжениям, стоит обратить внимание на их возможности по блокировке различных методик сканирования систем.
Что такое Ping Sweep?
Развертка ping, также называемая разборкой протокола ICMP, является диагностическим методом, используемым в вычислениях, чтобы увидеть, какой диапазон адресов интернет-протокола (IP) используется живыми хостами, которые обычно являются компьютерами. Обычно он используется для определения местоположения активных машин в сети, а иногда используется системным администратором для диагностики проблем в сети. Развертки пинга также используются компьютерными хакерами, которые пытаются проникнуть в сеть, чтобы увидеть, какие компьютеры активны, чтобы они знали, где сконцентрировать свои атаки.
Слово пинг возникло из технологии сонара. Это обычный способ работы подводных лодок для обнаружения тел в воде. Звуковой пакет отправляется, и если на пути есть какой-либо объект, звуковой пакет возвращается и обычно воспринимается как «пингующий» звук при получении.
В компьютерных технологиях один пинг отправляется с использованием эхо-запроса ICMP. Пакет отправляется на определенный IP-адрес, и если этот адрес активен, он отправляет уведомление обратно. Ping-запросы также предоставляют другую информацию, например, сколько времени потребовалось для возврата сигнала и была ли потеря пакета. Разнообразные команды, которые могут быть добавлены к запросу ping, поэтому он также может отправлять гораздо больше информации.
Несколько эхо-пакетов ICMP отправляются нескольким хостам во время пинга. Если хост активен, он вернет эхо-запрос ICMP. Запрос немного сложнее, чем один ping, и обычно используются специализированные версии утилиты ping. Одна из самых известных утилит ping sweep называется Fping. Он работает не так, как одна утилита ping, как та, которая встроена во все операционные системы Windows®.
В отличие от одного запроса проверки связи, Fping может использовать список адресов из файла, поэтому пользователю не нужно вручную вводить каждый адрес. Он также работает в режиме циклического перебора, и как только он пингует одного хоста, он переходит к следующему без ожидания. Fping предназначен для использования в скрипте для простоты использования, в отличие от программы с одним запросом ping.
Что такое ping sweep
 |
| Необходимость защиты сетей |
|
Интернет полностью меняет то, как мы работаем, живем, развлекаемся и учимся. Эти изменения будут происходить в уже известных нам областях (электронная коммерция, доступ к информации в реальном времени, расширение возможностей связи и т.д.), а также в областях, о которых мы пока не подозреваем. Может даже наступить такой день, когда корпорация сможет делать все свои телефонные звонки через интернет и совершенно бесплатно. В личной жизни возможны появления воспитательских Web-сайтов, через которые родители смогут в любой момент узнать, как обстоят дела у детей. Наше общество только начинает осознавать возможности интернета.
Однако вместе с колоссальным ростом популярности этой технологии возникает беспрецедентная угроза разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т.д. Каждый день хакеры подвергают угрозе эти ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки, которые будут описаны ниже, становятся все более изощренными и простыми в исполнении. Этому способствуют два основных фактора.
Во-первых, это повсеместное проникновение интернета. Сегодня к этой сети подключены миллионы устройств. Многие миллионы устройств будут подключены к интернету в ближайшем будущем. И поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа «хакер», «взлом», «hack», «crack» или «phreak» даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования.
Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает уровень знаний и навыков, которые необходимы хакеру. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать и распространять простые в использовании приложения. Теперь чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.
Снифферы пакетов
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.
IP-спуфинг
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.
Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
Парольные атаки
Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.
Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.
Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
Злоупотребление доверием
Собственно говоря, этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная в внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.
Переадресация портов
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org
Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными». Источник таких атак может находиться как внутри сети, так и снаружи.
Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.
Вирусы и приложения типа «троянский конь»
Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение. Получение самой свежей информации о вирусах поможет эффективнее бороться с ними. По мере появления новых вирусов и «троянских коней» предприятие должно устанавливать новые версии антивирусных средств и приложений.
|
| Что такое «политика безопасности»? |
|
Политикой безопасности можно назвать и простые правила использования сетевых ресурсов, и детальные описания всех соединений и их особенностей, занимающие сотни страниц. Определение RFC 2196 (которое считается несколько узким и ограниченным) описывает политику безопасности следующим образом:
