Единицы данных протоколов стека TCP/IP

Каждый коммуникационный протокол оперирует с некой единицей передаваемых данных. Наименования этих единиц время от времени закрепляются эталоном, но почаще просто определяются традицией. В стеке TCP/IP за многие годы его эксплуатации образовалась закоренелая терминология в этой области (табл.3).

Табл.3. Единицы данных в стеке TCP/IP.

I ПРИКЛАДНЫЕ ПРОТОКОЛЫ (поток)
II UDP Единицы данных протоколов стека TCP/IP (дейтаграмма) TCP (сектор)
III IP (пакет либо IP-дейтаграмма)
IV СЕТЕВЫЕ ИНТЕРФЕЙСЫ (кадр(фрейм))

Потоком именуют данные, поступающие от приложений на вход транспортного уровня TCP либо UDP.

Протокол TCP нарезает из потока сегменты.

Единицу данных протокола UDP нередко именуют дейтаграммой (либо датаграммой). Дейтаграмма - это общее заглавие для единиц Единицы данных протоколов стека TCP/IP данных, которыми оперируют протоколы без установления соединений. К таким протоколам относится и протокол межсетевого взаимодействия IP.

Дейтаграмму протокола IP именуют также пакетом.

В стеке TCP/IP принято именовать кадрами (фреймами) единицы данных протоколов, на базе которых IP-пакеты переносятся через сабсети составной сети. При всем этом не имеет значения Единицы данных протоколов стека TCP/IP, какое заглавие употребляется для этой единицы данных в локальной технологии.

6. Сетевые анализаторы

Анализатор трафика, либо сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программка либо программно-аппаратное устройство, созданное для перехвата и следующего анализа, или только анализа сетевого трафика, созданного для других узлов.

Сниффер может рассматривать только то, что проходит через его Единицы данных протоколов стека TCP/IP сетевую карту. Снутри 1-го сектора сети Ethernet все пакеты рассылаются всем машинам, из-за этого может быть перехватывать чужую информацию. Внедрение коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Меж секторами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на Единицы данных протоколов стека TCP/IP отдельные пакеты, могут пересылаться из начального пт в пункт предназначения различными маршрутами. Так что если кто-то в другом секторе отправляет снутри его какие-либо пакеты, то в ваш сектор коммутатор эти данные не вышлет.

Перехват трафика может осуществляться:

§ обыденным «прослушиванием» сетевого интерфейса (способ эффективен при использовании в сегментеконцентраторов Единицы данных протоколов стека TCP/IP (хабов) заместо коммутаторов (свитчей), в неприятном случае способ малоэффективен, так как на сниффер попадают только отдельные фреймы);

§ подключением сниффера в разрыв канала;

§ ответвлением (программным либо аппаратным) трафика и направлением его копии на сниффер;

§ через анализ побочных электрических излучений и восстановление таким макаром прослушиваемого трафика;

§ через атаку на канальном (2) (MAC Единицы данных протоколов стека TCP/IP-spoofing) либо сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы либо всего трафика сектора на сниффер с следующим возвращением трафика в соответствующий адресок.

Сначала 1990-х обширно применялся взломщиками для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном либо слабозашифрованном виде. Обширное распространение хабов позволяло Единицы данных протоколов стека TCP/IP захватывать трафик без огромных усилий в огромных секторах сети фактически без риска быть найденным.

Снифферы используются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

§ Найти паразитный, вирусный и закольцованный трафик, наличие которого наращивает загрузку сетевого оборудования и каналов связи(снифферы тут малоэффективны; обычно Единицы данных протоколов стека TCP/IP, для этих целей употребляют сбор различной статистики серверами и активным сетевым оборудованием и её следующий анализ).

§ Выявить в сети вредное и несанкционированное ПО, к примеру, сетевые сканеры, флудеры, троянские программки, клиенты пиринговых сетей и другие (это обычно делают с помощью специализированных снифферов — мониторов сетевой активности).

§ Перехватить хоть Единицы данных протоколов стека TCP/IP какой незашифрованный (а иногда и зашифрованный) пользовательский трафик с целью получения паролей и другой инфы.

§ Локализовать неисправность сети либо ошибку конфигурации сетевых агентов (для этой цели снифферы нередко используются системными админами)

Так как в «классическом» сниффере анализ трафика происходит вручную, с применением только простых средств автоматизации (анализ протоколов Единицы данных протоколов стека TCP/IP, восстановление TCP-потока), то он подходит для анализа только маленьких его объёмов.

7. Меры защиты от снифферов

- настройка сетевого оборудования

- защита антиснифом

8. Безопасность протокола ARP

Способы защиты:

· Фиксация соответствий меж IP и MAC адресами на каждом ПК сети с помощью скриптов из команд “ARP –s ”.

· Контроль соответствия сетевых пакетов с помощью ПО класса HIPS на каждом ПК Единицы данных протоколов стека TCP/IP сети.

· Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.

11. Атаки на протокол IP

Пассивные атаки на уровне TCP

При данном типе атак крэкеры никаким образом не обнаруживают себя и не вступают впрямую во взаимодействие с другими системами. Практически все сводиться к наблюдению за доступными данными либо сессиями связи.

Подслушивание

Атака заключаются Единицы данных протоколов стека TCP/IP в перехвате сетевого потока и его анализе (от англ. "sniffing"). Для воплощения подслушивания крэкеру нужно иметь доступ к машине, расположенной на пути сетевого потока, который нужно рассматривать; к примеру, к маршрутизатору либо PPP-серверу на базе UNIX. Если крэкеру получится получить достаточные права на этой машине, то при помощи специального Единицы данных протоколов стека TCP/IP программного обеспечения сумеет просматривать весь трафик, проходящий через данные интерфейс. 2-ой вариант -- крэкер получает доступ к машине, которая размещена в одном секторе сети с системой, которой имеет доступ к сетевому сгустку. К примеру, в сети "узкий ethernet" сетевая карта может быть переведена в режим, в каком Единицы данных протоколов стека TCP/IP она будет получать все пакеты, циркулирующие по сети, а не только лишь адресованной ей непосредственно. В этом случае крэкеру не требуется доступ к UNIX -- довольно иметь PC с DOS либо Windows (частая ситуация в институтских сетях). Так как TCP/IP-трафик, обычно, не шифруется (мы разглядим исключения ниже), крэкер Единицы данных протоколов стека TCP/IP, используя соответственный инструментарий, может перехватывать TCP/IP-пакеты, к примеру, telnet-сессий и извлекать из их имена юзеров и их пароли. Следует увидеть, что данный тип атаки нереально отследить, не владея доступом к системе крэкера, так как сетевой поток не меняется. Единственная надежная защита от подслушивания -- шифрование TCP/IP Единицы данных протоколов стека TCP/IP-потока (к примеру, secure shell) либо внедрение разовых паролей (к примеру, S/KEY). Другой вариант решения - внедрение умственных свитчей и UTP, в итоге чего любая машина получает только тот трафик, что адресован ей. У каждой палки два конца. Естественно, подслушивание может быть и полезно. Так, данный способ употребляется огромным Единицы данных протоколов стека TCP/IP количеством программ, помогающих админам в анализе работы сети (ее загруженности, работоспособности и т.д.). Один из ярчайших примеров -- общеизвестный tcpdump.

Активные атаки на уровне TCP

При данном типе атак крэкер ведет взаимодействие с получателем инфы, отправителем и/либо промежными системами, может быть, модифицируя и/либо фильтруя содержимое TCP/IP-пакетов Единицы данных протоколов стека TCP/IP. Данные типы атак нередко кажутся на техническом уровне сложными в реализации, но для неплохого программера не составляет труда воплотить соотвествующий инструментарий. К огорчению, на данный момент такие программки стали доступны широким массам юзеров (к примеру, см. раздел про SYN-затопление). Активные атаки можно поделить на две части. В первом случае крэкер Единицы данных протоколов стека TCP/IP решает определенные шаги для перехвата и модификации сетевого потока либо попыток "притвориться" другой системой. Во 2-м случае протокол TCP/IP употребляется для того, чтоб привести систему-жертву в нерабочее состоянии. Владея достаточными льготами в Unix (либо просто используя DOS либо Windows, не имеющие системы ограничений юзеров), крэкер может вручную сформировывать Единицы данных протоколов стека TCP/IP IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив таковой пакет, нереально узнать откуда реально он был получен, так как пакеты не содержат пути их прохождения. Естественно, при установке оборотного адреса не совпадающим с текущим Айпишником, крэкер никогда не получит ответ Единицы данных протоколов стека TCP/IP на отосланный пакет. Но, как мы увидим, нередко это и не требуется. Возможность формирования случайных IP-пакетов является главным пт для воплощения активных атак.

Пророчество TCP sequence number

Данная атака была описана еще Робертом Моррисом (Robert T. Morris) в A Weakness in the 4.2BSD Unix TCP/IP Единицы данных протоколов стека TCP/IP Software Английский термин -- IP spoofing. В этом случае цель крэкера - притвориться другой системой, которой, к примеру, "доверяет" система-жертва (в случае использования протокола rlogin/rsh для беспарольного входа). Способ также употребляется для других целей -- к примеру, для использовании SMTP жертвы для посылки поддельных писем.

Описание

Вспомним, что установка TCP-соединения происходит в три Единицы данных протоколов стека TCP/IP стадии (3-way handshake): клиент выбирает и передает серверу sequence number (назовем его C-SYN), в ответ на это сервер отправляет клиенту пакет данных, содержащий доказательство (C-ACK) и свой sequence number сервера (S-SYN). Сейчас уже клиент должен выслать доказательство (S-ACK). Схематично это можно представить Единицы данных протоколов стека TCP/IP так: После чего соединение считается установленным и начинается обмен данными. При всем этом каждый пакет имеет в заголовке поле для sequence number и acknowledge number. Данные числа растут при обмене данными и позволяют держать под контролем правильность передачи. Представим, что крэкер может предсказать, какой sequence number (S-SYN по схеме Единицы данных протоколов стека TCP/IP) будет отправлен сервером. Это может быть сделать на базе познаний о определенной реализации TCP/IP. К примеру, в 4.3BSD значение sequence number, которое будет применено при установке последующего значения, каждую секунду возрастает на 125000. Таким макаром, отправив один пакет серверу, крэкер получит ответ и сумеет (может быть, с нескольких Единицы данных протоколов стека TCP/IP попыткок и с поправкой на скорость соединения) предсказать sequence number для последующего соединения. Если реализация TCP/IP употребляет особый метод для определения sequence number, то он может быть выяснен при помощи посылки нескольких 10-ов пакетов серверу и анализа его ответов. Итак, представим, что система A доверяет системе B, так, что Единицы данных протоколов стека TCP/IP юзер системы B в состоянии сделать "rlogin A"_ и оказаться на A, не вводя пароля. Представим, что крэкер размещен на системе C. Система A выступает в роли сервера, системы B и C - в роли клиентов. 1-ая задачка крэкера - ввести систему B в состояние, когда она не сумеет отвечать на Единицы данных протоколов стека TCP/IP сетевые запросы. Это может быть изготовлено несколькими методами, в простом случае необходимо просто дождаться перезагрузки системы B. Нескольких минут, в течении которых она будет неработоспособна, должно хватить. Другой вариант -- внедрение описанными в последующих разделах способов. После чего крэкер может испытать притвориться системой B, для того, что бы получить доступ Единицы данных протоколов стека TCP/IP к системе A (хотя бы краткосрочный).

После чего, если крэкеру подфартило и sequence number сервера был угадан правильно, соединение считается установленным. Сейчас крэкер может выслать очередной липовый IP-пакет, который будет уже содержать данные. К примеру, если атака была ориентирована на rsh Единицы данных протоколов стека TCP/IP, он может содержать команды сотворения файла .rhosts либо отправки /etc/passwd крэкеру по электрической почте.

Детектирование и защита

Простым сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из окружающего мира. Программное обеспечение маршрутизатора может предупредить об этом админа. Но не стоит обольщаться - атака может быть и изнутри Вашей сети Единицы данных протоколов стека TCP/IP. В случае использования более умственных средств контроля за сетью админ может выслеживать (в автоматическом режиме) пакеты от систем, которые в находятся в труднодоступном состоянии. Вобщем, что мешает крэкеру имитировать работу системы B ответом на ICMP-пакеты? Какие методы есть для защиты от IP-spoofing? Во-1-х, можно Единицы данных протоколов стека TCP/IP усложнить либо сделать неосуществимым угадывание sequence number (главный элемент атаки). К примеру, можно прирастить скорость конфигурации sequence number на сервере либо выбирать коэффициент роста sequence number случаем (лучше, используя для генерации случайных чисел криптографически стойкий метод). Если сеть употребляет firewall (либо другой фильтр IP-пакетов), следует добавить ему правила, по Единицы данных протоколов стека TCP/IP которым все пакеты, пришедшие снаружи и имеющие оборотными адресами из нашего адресного места, не должны пропускаться вовнутрь сети. Не считая того, следует минимизировать доверие машин друг дружке. В эталоне не должны существовать метода, впрямую попасть на соседнюю машину сети, получив права суперпользователя на какой-то из них. Естественно, это Единицы данных протоколов стека TCP/IP не выручит от использования сервисов, не требующих авторизации, к примеру, IRC (крэкер может притвориться случайной машиной Internet и передать набор команд для входа на канал IRC, выдачи случайных сообщений и т.д.). Шифрование TCP/IP-потока решает в общем случае делему IP-spoofing'а (при условии, что употребляются криптографически стойкие Единицы данных протоколов стека TCP/IP методы). Для того, чтоб уменьший число таких атак, рекомендуется также настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному месту. Это защитит мир от атак из внутренней сети, не считая того, детектирование схожих пакетов будет означать нарушение внутренней безопасности и может посодействовать Единицы данных протоколов стека TCP/IP админу в работе.

IP Hijacking

Если в прошлом случае крэкер инициировал новое соединение, то в этом случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Способ является композицией "подслушивания" и IP spoofing'а.

Описание

Нужные условия -- крэкер обязан иметь доступ к машине, находящейся на пути сетевого потока и владеть Единицы данных протоколов стека TCP/IP достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных повсевременно употребляются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент инспектируют правильность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние Единицы данных протоколов стека TCP/IP", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и напротив. В этом случае крэкер, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Способ позволяет вполне обойти такие системы защиты, как, к Единицы данных протоколов стека TCP/IP примеру, разовые пароли, так как крэкер начинает работу уже после того, как произойдет авторизация юзера. Есть два метода рассинхронизировать соединение:

Ранешняя десинхронизация

Соединение десинхронизируется на стадии его установки.

Десинхронизация нулевыми данными

В этом случае крэкер прослушивает сессию и в некий момент отправляет серверу пакет с "нулевыми" данными, т.е. такими, которые практически будут проигнорированы на уровне прикладной программки и не заметны клиенту (к примеру, для telnet это может быть данные типа IAC Единицы данных протоколов стека TCP/IP NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Разумеется, что после чего сессия перебегает в десинхронизированное состояние.

ACK-буря

Одна из заморочек IP Hijacking состоит в том, что хоть какой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так именуемый ACK-бурю. К примеру, пакет отправлен сервером Единицы данных протоколов стека TCP/IP, и для клиента он является неприемлимым, потому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ... И так до бесконечности. К счастью (либо к огорчению?) современные сети строятся по технологиям, когда допускается утрата отдельных пакетов. Так как ACK-пакеты не несут Единицы данных протоколов стека TCP/IP данных, повторных передачи не происходит и "буря затихает". Как проявили опыты, чем посильнее ACK-буря, тем резвее она "утихомиривает" себя - на 10MB ethernet это происходит за толики секунды. На ненадежных соединениях типа SLIP - ненамного больше.

Детектирование и защита

Есть несколько путей. К примеру, можно воплотить TCP/IP-стэк, которые Единицы данных протоколов стека TCP/IP будут держать под контролем переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Но в данному случае мы не застрахованы от крэкера, меняющего и эти значения. Потому более надежным методом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно воплотить с помощью определенных средств контроля за Единицы данных протоколов стека TCP/IP сетью. Если крэкер не потрудиться поддерживать десинхронизированное соединение до его закрытия либо не станет фильтровать вывод собственных команд, это также будет сходу увидено юзером. К огорчению, подавляющее большая часть просто откруют новейшую сессию, не обращаясь к админу. Стопроцентную защиту от данной атаки обеспечивает, как обычно, шифрование TCP/IP-трафика Единицы данных протоколов стека TCP/IP (на уровне приложений - secure shell) либо на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует увидеть, что способ также не срабатывает на неких определенных реализациях TCP/IP. Так, невзирая на [rfc...], который просит неразговорчивого закрытия сесии в ответ на RST-пакет Единицы данных протоколов стека TCP/IP, некие системы генерируют встречный RST-пакет. Это делает неосуществимым раннюю десинхронизацию. Для более глубочайшего ознакомления с этой атакой рекомендуется обратиться к IP Hijacking (CERT).

Пассивное сканирование

Сканирование нередко применяется крэкерами для того, чтоб узнать, на каких TCP-портах работают бесы, отвечающие на запросы из сети. Рядовая программа-сканер Единицы данных протоколов стека TCP/IP поочередно открывает соединения с разными портами. В случае, когда соединение устанавливается, программка сбрасывает его, сообщая номер порта крэкеру. Данный метод просто детектируются по сообщениям бесов, ошеломленных одномоментно прерваным после установки соединением, либо при помощи использования особых программ. Наилучшие из таких программ владеют некими попытками внести элементы искуственного элемента в отслеживание попыток соединения Единицы данных протоколов стека TCP/IP с разными портами. Но крэкер может пользоваться другим способом -- пассивным сканированием (британский термин "passive scan"). При его использовании крэкер отправляет TCP/IP SYN-пакет на все порты попорядку (либо по какому-то данному методу). Для TCP-портов, принимающих соединения снаружи, будет возвращен SYN/ACK-пакет, как приглашение Единицы данных протоколов стека TCP/IP продолжить 3-way handshake. Другие возвратят RST-пакеты. Проанализировав данные ответ, крэкер может стремительно осознать, на каких портах работают программка. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, демонстрируя, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP Единицы данных протоколов стека TCP/IP-реализация крэкера, если он не предпримет особых мер). Способ не детектируется прошлыми методами, так как реальное TCP/IP-соединение не устанавливается. Но (зависимо от поведения крэкера) можно выслеживать:

К огорчению, при довольно умном поведении крэкера (к примеру, сканирование с низкой скоростью либо проверка только определенных портов) детектировать пассивное сканирование нереально, так как оно ничем не отличается от обыденных попыток установить соединение. В качестве защиты можно только порекомендовать закрыть на firewall все сервисы, доступ Единицы данных протоколов стека TCP/IP к которым не требуется снаружи.

Затопление ICMP-пакетами

Обычный английский термин -- "ping flood". Появился он поэтому, что программка "ping", созданная для оценки свойства полосы, имеет ключ для "брутального" тестирования. В этом режиме запросы посылаются с очень вероятной скоростью и программка позволяет оценить, как работает сеть при критической нагрузке. Данная атака Единицы данных протоколов стека TCP/IP просит от крэкера доступа к резвым каналам в Веб. Вспомним, как работает ping. Программка отправляет ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на схожий запрос пакетом ICMP ECHO REPLY. Получив его ping выдает скорость прохождения пакета. При стандартном режиме работы Единицы данных протоколов стека TCP/IP пакеты выслаются через некие промежутки времени, фактически не нагружая сеть. Но в "брутальном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку маленький полосы, лишив ее возможности передавать полезную информацию. Естественно, случай с ping является личным случаем более общей ситуации, связанный с перегрузкой каналов. К Единицы данных протоколов стека TCP/IP примеру, крэкер может посылать огромное количество UDP-пакетов на 19-й порт машины-жертвы, и горе ей, если она, следуя принятым правилам, имеет на 19-м UDP-порту знакогенератор, отвечающий на пакеты строками по 80 б. Заметим, что крэкер может также подделывать оборотный адресок схожих пакетов, затрудняя его обнаружение. Отследить его поможет Единицы данных протоколов стека TCP/IP разве что скоординированная работа профессионалов на промежных маршрутизаторах, что фактически нереально. Одной из вариантов атаки - посылать ICMP echo request-пакеты с начальным адресом, указывающем на жертву, на broadcast-адреса больших сетей. В итоге любая из машин ответит на этот липовый запрос, и машина-отправитель получит больше количество ответов. Посылка огромное количество broadcast Единицы данных протоколов стека TCP/IP-echo requests от имени "жертвы" на broadcast-адреса больших сетей, можно вызвать резкой заполненение канала "жертвы". Приметы затопления - резко возросшая нагрузка на сеть (либо канал) и увеличение количество специфичных пакетов (таких, как ICMP). В качестве защиты можно посоветовать настройку маршрутизаторов, при которых они будут фильтровать тот же Единицы данных протоколов стека TCP/IP ICMP трафик, превосходящие некую заданную заблаговременно величину (пакетов/ед. времени). Для того, чтоб убедиться, что Ваши машины не могут служить источником ping flood'а, ограничьте доступ к ping.

Локальная буря

Создадим маленькое отступление в сторону реализации TCP/IP и разглядим "локальные бури" на пример UDP-бури. Обычно, по дефлоту системы поддерживают работу Единицы данных протоколов стека TCP/IP таких UDP-портов, как 7 ("эхо", приобретенный пакет отсылается вспять), 19 ("знакогенератор", в ответ на приобретенный пакет отправителю выслается строчка знакогенератора) и других (date etc). В этом случае крэкер может отправить единственный UDP-пакет, где в качестве начального порта будет указан 7, в качестве получателя - 19-й, а в качестве адреса получателя и Единицы данных протоколов стека TCP/IP отправителя будут указаны, например, две машины вашей сети (либо даже 127.0.0.1). Получив пакет, 19-й порт отвечает строчкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19.. и так до бесконечности. Нескончаемый цикл съедает ресурсы машин и добавляет на канал глупую нагрузку. Естественно, при первом Единицы данных протоколов стека TCP/IP потерянном UDP-пакете буря закончиться. Как не так давно стало понятно, данная атака временно выводит из строя (до перезагрузки) некие старенькые модели маршрутизаторов. Разумеется, что в нескончаемый разговор могут быть вовлечены многие бесы (в случае TCP/IP может быть использован TCP/IP spoofing, в случае UDP/ICMP довольно пары Единицы данных протоколов стека TCP/IP липовых пакетов). В качестве защиты стоит снова посоветовать не пропускать в сети пакеты с внутренними адресам, но пришедшие снаружи. Также рекомендуется закрыть на firewall внедрение большинства сервисов.

Затопление SYN-пакетами

Пожалуй, затопление SYN-пакетами ("SYN flooding") - самый узнаваемый метод напакостить ближнему, с тех пор, как хакерский электрический журнальчик "2600" опубликовал начальные тексты Единицы данных протоколов стека TCP/IP программки, дозволяющие занятьсе этим даже неквалифицированным юзерам. Следует увидеть, что в первый раз эта атака была упомянута еще в 1986 году все этим же Робертом Т. Моррисом. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN-пакет S-SYN/C-ACK-пакетом, переводит Единицы данных протоколов стека TCP/IP сессию в состояние SYN_RECEIVED и вносит ее в очередь. Если в течении данного времени от клиента не придет S-ACK, соединение удаляется из очереди, в неприятном случае соединение переводится в состояние ESTABLISHED. Разглядим случай, когда очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения. По Единицы данных протоколов стека TCP/IP RFC он будет молчком проигнорирован. Затопление SYN-пакетами основано на переполнении очереди сервера, после этого сервер перестает отвечать на запросы юзеров. Самая популярная атака такового рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течении 2-х недель. В разных системах работа с очередью реализована по Единицы данных протоколов стека TCP/IP различному. Так, в BSD-системах, каждый порт имеет свою свою очередь размером в 16 частей. В системах SunOS, напротив, такового разделения и нет и система просто располагает большой общей очередью. Соответственно, для того, что бы заблокировать, например, WWW-порт на BSD довольно 16 SYN-пакетов, а для Solaris 2.5 их количество будет еще больше Единицы данных протоколов стека TCP/IP. После истечение некого времени (находится в зависимости от реализации) система удаляет запросы из очереди. Но ничего не мешает крэкеру отправить новейшую порцию запросов. Таким макаром, даже находясь на соединение 2400 bps, крэкер может посылать каждые полторы минутки по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта Единицы данных протоколов стека TCP/IP ошибка была скорректирована в последних версиях FreeBSD). Как обычно, крэкер может пользоваться случайными оборотными Айпишниками при формировании пакетов, что затрудняет его обнаружение и фильтрацию его трафика. Детектирование нетрудно -- огромное количество соединений в состоянии SYN_RECEIVED, игнорирование попыток объединится с данным портом. В качестве защиты можно посоветовать патчи, которые реализуют Единицы данных протоколов стека TCP/IP автоматическое "прорежение" очереди, к примеру, на базе метода Early Random Drop. Для того, что бы выяснить, если к Вашей системе защита от SYN-затопления, обратитесь к поставщику системы. Другой вариант защиты - настроить firewall так, что бы все входящие TCP/IP-соединения устанавливал он сам, и только после чего перекидывал Единицы данных протоколов стека TCP/IP их вовнутрь сети на заданную машину. Это позволит Вам ограничить SYN-затопление и не пропустить его вовнутрь сети.

12. Атаки ICMP

Протокол управляющих сообщений сети Веб (ICMP – Internet Control Message Protocol) является пользующимся популярностью и обширно применяемым протоколом Веба. Протокол обычно употребляется сетевыми компьютерами для отправки сообщений об ошибках.
Злоумышленники пробуют Единицы данных протоколов стека TCP/IP использовать уязвимости этого протокола в собственных целях. Протокол ICMP разработан как средство передачи данных в одном направлении без аутентификации. Это позволяет злодеям организовывать атаки типа «отказ в обслуживании» (DoS – Denial of Service).

Обычными примерами атак ICMP является огромное количество пакетов ping, огромное количество пакетов ICMP_ECHO либо атака smurf. Компы, подвергающиеся Единицы данных протоколов стека TCP/IP атаке ICMP, существенно замедляют свою работу (в особенности это касается сетевых приложений), и у их появляются трудности при установлении сетевых соединений.

13. Защита периметра

Первым уровнем обеспечения информационной безопасности, блокирующей несанкционированный доступ взломщиков в корпоративную сеть, является межсетевой экран. Компания «Микротест» предлагает своим заказчикам межсетевые экраны разных производителей Единицы данных протоколов стека TCP/IP, нацеленных на защиту как маленьких, так и больших территориально-распределенных информационных систем. Зависимо от технологии обработки инфы в организации межсетевые экраны (устройства защиты периметра) могут поставляться в различной комплектации и обеспечивать разный функционал, в том числе:

· Разграничение и контроль доступа, выполнение аутентификации юзеров, трансляция Айпишников (NAT);

· Организация демилитаризованных зон Единицы данных протоколов стека TCP/IP;

· Построение разных типов VPN (IPSec и SSL VPN, в том числе сертифицированные по требованиям ФСБ Рф решения);

· Функционал контроля контента. Анализ трафика на прикладном уровне, защита трафика от вирусов и разных типов spyware и malware, защита от мусора, URL-фильтрация, антифишинг, и пр;

· Функционал системы обнаружения и предотвращения сетевых атак Единицы данных протоколов стека TCP/IP и несанкционированной сетевой активности;

· Высшую доступность и кластеризацию;

· Балансировку нагрузки;

· Поддержка свойства обслуживания (QoS);

· Механизмы аутентификации юзеров;

· Интеграцию с разными системами аутентификации и авторизации (RADIUS, TACACS+, LDAP и др);

· Управление перечнями контроля доступа маршрутизаторов;

· Ряд других способностей.

Главным функционалом межсетевых экранов является разграничение и контроль доступа, трансляция адресов и сокрытие топологии Единицы данных протоколов стека TCP/IP вашей вычислительной сети от окружающего мира. Но стоит отметить, что межсетевые экраны приемущественно производят фильтрацию и анализ трафика на 3-ем и четвертом уровнях модели OSI, и только ограниченно - на более больших уровнях.

Другим очень принципиальным функционалом межсетевых экранов является организация демилитаризованных зон. Это специально защищенные сегменты сети, к Единицы данных протоколов стека TCP/IP которым организован неопасный доступ из наружных сетей (Веб) и в каких рекомендуется устанавливать сервера, взаимодействующие с наружными сетями - WEB, почтовый, DNS, и т.п.

Но и сам межсетевой экран может служить мишенью для злоумышленников - так же, как и другие узлы вашей сети, начиная от серверов приложений и Web-серверов Единицы данных протоколов стека TCP/IP и заканчивая почтовыми узлами и базами данных. Для мониторинга и борьбы с атаками и несанкционированной сетевой активностью рекомендуется использовать спец продукты сетевые системы обнаружения и предотвращения атак (IDS/IPS). Данные системы позволяют отследить и зарегистрировать пробы несанкционированной сетевой активности и опционально перекрыть атаки в режиме реального времени.

Очень отлично Единицы данных протоколов стека TCP/IP использовать данные, получаемые от детекторов (серверов) обнаружения атак и от межсетевых экранов атаках (об отраженных ими атаках) позволяет внедрение системы мониторинга информационной безопасности. Система мониторинга ИБ позволяет свести все действия и инциденты ИБ в единой консоли, делает умственный анализ атак и их последствий и помогает админам выработать контрмеры. Не считая Единицы данных протоколов стека TCP/IP этого, система мониторинга ИБ делает регистрацию и хранение всех событий информационной безопасности, что делает вероятным внедрение приобретенного материала в качестве доказательного при выполнении расследований инцидентов и судопроизводстве.

Итак, базисные элементы защиты периметра - это межсетевые экраны (и VPN-серверы), системы обнаружения и предотвращения сетевых атак и системы Единицы данных протоколов стека TCP/IP мониторинга ИБ. Но, как указывает практика, этих систем часто недостаточно для действенной защиты от современных угроз они обеспечивают нужный, но не достаточный уровень защищенности информационной системы. Существует ряд угроз и их становится все в большей и большей степени, от которых обозначенные средства защиты малоэффективны. К таким угрозам относятся:

· проникновение Единицы данных протоколов стека TCP/IP червяков, вирусов и другого вредного кода через электрическую почту, web-сёрфинг и т.п. Обычно, данная зараза не определяется ни межсетевыми экранами, работающими на 3-ем уровне модели OSI, ни системами обнаружения сетевых атак. Ведь никакой атаки, к примеру, в момент передачи файла, не делается;

· инфецирование пользовательских компов, работающих через криптотуннель (к примеру, снутри Единицы данных протоколов стека TCP/IP SSL-соединения с зараженным web-сервером либо IPSec-соединения с зараженной сетью);

· атаки, использующие неведомые уязвимости неких приложений.

По этим, и ряду других обстоятельств, для настоящей защиты корпоративной информационной системы недостаточно только межсетевых экранов (и систем обнаружения атак). Зависимо от особенностей определенной защищаемой системы и требованиям к уровню защищенности, рекомендуется использовать Единицы данных протоколов стека TCP/IP и другие системы и способы защиты. Очень принципиально организовать эффективную защиту на уровне хостов (серверов и рабочих станций сети), контроль контента на периметре сети, контроль за утечкой секретной инфы, и принять некие другие меры.

Более тщательно о соответственных разработках, услугах и наставлениях «Микротест» вы сможете прочесть всоответствующих разделах нашего Единицы данных протоколов стека TCP/IP веб-сайта.

Зачем?

Итак, защита периметра вычислительной сети с внедрением предлагаемых компанией «Микротест» межсетевых экранов и систем обнаружения сетевых атак является базисной и нужной защитой периметра информационной системы от посягательств злоумышленников, типичным "фильтром грубой чистки". Внедрение обрисованных технологий обеспечивает:

· Контроль и разграничение доступа на периметре сети;

· По мере надобности Единицы данных протоколов стека TCP/IP аутентификацию юзеров;

· Сокрытие топологии и внутренней организации вашей вычислительной сети, что значительно усложняет задачки злоумышленников;

· Организация защищенного доступа внутренних юзеров во наружные сети и напротив - юзеров наружных сетей к защищаемым внутренним ресурсам;

· Своевременное предотвращение, обнаружение и блокирование большей части атак, направленных на ресурсы информационной системы;

· Существенное увеличение эффективности работы персонала Единицы данных протоколов стека TCP/IP, отвечающего за информационную безопасность, понижение издержек, возникающих от неэффективной работы;

· Масштабируемость инфраструктуры обеспечения информационной безопасности корпоративной сети;

· Централизованное управление средствами защиты, находящимися на разных участках корпоративной сети (в т.ч. и в удаленных филиалах);

· Высококачественный мониторинг и анализ событий информационной безопасности, облегчение работы профессионалов по выработке ответных мер.

17. VPN

VPN (англ Единицы данных протоколов стека TCP/IP. Virtual Private Network — виртуальная личная сеть[1]) — обобщённое заглавие технологий, позволяющих обеспечить одно либо несколько сетевых соединений (логическую сеть) поверх другой сети (к примеру, Веб). Невзирая на то, что коммуникации осуществляются по сетям с наименьшим неведомым уровнем доверия (к примеру, по общественным сетям), уровень доверия к построенной логической сети не Единицы данных протоколов стека TCP/IP находится в зависимости от уровня доверия к базисным сетям благодаря использованию средств криптографии (шифрования, аутентификации,инфраструктуры открытых ключей, средств для защиты от повторов и конфигураций передаваемых по логической сети сообщений).


edinici-kolichestva-informacii.html
edinie-normi-na-ispolzovanie-v-televizionnom-izobrazhenii-titrov-subtitrov-cifrovih-chasov-i-drugih-operativnih-nadpisej.html
edinie-standarti-obsluzhivaniya-potrebitelej-setevimi-organizaciyami.html