Sissejuhatus
Rünnak arvutisüsteemis on ründaja tegevus, mis seisneb konkreetse haavatavuse otsimises ja ärakasutamises. Seega on rünnak ohu elluviimine. Pange tähele, et selline ründe tõlgendus (kaasatud pahatahtliku kavatsusega isik) välistab ohu määratluses esineva juhuse elemendi, kuid nagu kogemus näitab, on sageli võimatu teha vahet tahtlikul ja juhuslikul tegevusel ning heal kaitsel. süsteem peab adekvaatselt reageerima kummalegi neist.
Oht avalikustamised seisneb selles, et teave saab teatavaks kellelegi, kes seda teadma ei peaks. Arvutiturbe mõttes ilmneb avalikustamise oht alati, kui pääsetakse ligi mõnele arvutisüsteemi salvestatud või ühest süsteemist teise edastatud konfidentsiaalsele teabele. Mõnikord kasutatakse sõna "avalikustamine" asemel mõisteid "vargus" või "leke".
Oht terviklikkus hõlmab arvutisüsteemi salvestatud või ühest süsteemist teise üle kantud andmete mis tahes tahtlikku muutmist (muutmist või isegi kustutamist). Üldiselt arvatakse, et valitsusüksused on vastuvõtlikumad avalikustamise ohule, samas kui äri- või äriüksused on vastuvõtlikumad terviklikkuse ohule.
Oht teenusest keeldumine tekib alati, kui teatud toimingute tulemusena blokeeritakse juurdepääs arvutisüsteemi mõnele ressursile. Tegelikkuses võib blokeerimine olla püsiv, nii et taotletud ressurssi ei saada kunagi kätte, või võib see ainult põhjustada taotletud ressursi viivituse piisavalt kaua, et muuta see kasutuks. Sellistel juhtudel öeldakse, et ressurss on ammendatud.
Tüüpilised ohud Internetis on:
· Ühe võrgukomponendi rike. Kujundusvigadest või riist- või tarkvaravigadest tingitud rike võib ühe võrgukomponendi ebaõigest toimimisest põhjustada teenuse keelamise või turvariski. Tulemüüri tõrked või autentimisserverite valed autoriseerimisest keeldumised on näited tõrgetest, millel on turbemõju.
· Teabe skannimine. Kriitilise teabe volitamata vaatamine ründajate või volitatud kasutajate poolt võib toimuda erinevate mehhanismide abil - meili vale sihtkohaga, printeriga printimine, valesti konfigureeritud juurdepääsukontrolli loendid, mitu inimest jagavad sama ID-d jne.
· Teabe kasutamine muudel eesmärkidel – teabe kasutamine muudel kui lubatud eesmärkidel võib kaasa tuua teenusest keeldumise, tarbetute kulude ja maine kaotuse. Selle süüdlased võivad olla nii sise- kui väliskasutajad.
· Maskeraad – katsed end maskeerida volitatud kasutaja varastada teenuseid või teavet või algatada finantstehinguid, mis toovad organisatsioonile rahalist kahju või probleeme.
1. Rünnaku tuvastamine
Ajalooliselt on ründetuvastussüsteemide loomiseks kasutatud tehnoloogiad jagatud kahte kategooriasse: anomaaliate tuvastamine ja väärkasutuse tuvastamine. Praktikas kasutatakse aga teist klassifikatsiooni, mis võtab arvesse selliste süsteemide praktilise rakendamise põhimõtteid: rünnakute tuvastamine võrgutasandil (võrgupõhine) ja hostitasandil (hostipõhine). Esimesed süsteemid analüüsivad võrguliiklust, teised aga operatsioonisüsteemi või rakenduste logisid. Igal klassil on oma eelised ja puudused, kuid sellest lähemalt hiljem. Tuleb märkida, et ühte nendest klassidest saab ühemõtteliselt liigitada ainult mõned rünnakutuvastussüsteemid. Tavaliselt sisaldavad need mitme kategooria võimalusi. Kuid see klassifikatsioon peegeldab põhijooned, mis eristab üht rünnakutuvastussüsteemi teisest.
Hetkel anomaaliate tuvastamise tehnoloogiat laialdaselt ei kasutata ja ükski kaubanduslikult levitatud süsteem seda ei kasuta. See on tingitud asjaolust, et see tehnoloogia näeb teoreetiliselt ilus välja, kuid praktikas on seda väga raske rakendada. Nüüd on aga selle juurde järk-järgult tagasi pöördutud (eriti Venemaal) ja võib loota, et peagi saavad kasutajad näha esimesi seda tehnoloogiat kasutavaid kommertsrünnakute tuvastamise süsteeme.
Teine lähenemisviis ründe tuvastamiseks on väärkasutuse tuvastamine, mis hõlmab rünnaku kirjeldamist mustrina või signatuurina ja selle mustri otsimist jälgitavast ruumist (võrguliiklus või logi). Viirusetõrjesüsteemid on suurepärane näide seda tehnoloogiat kasutavast rünnakutuvastussüsteemist.
Nagu eespool märgitud, on kaks klassi süsteemid, mis tuvastavad rünnakud võrgu- ja töötasandil. Võrgupõhiste ründetuvastussüsteemide põhieelis seisneb selles, et need tuvastavad rünnakud enne, kui need jõuavad sihtrühma. Neid süsteeme on lihtsam juurutada suured võrgud, sest need ei vaja installimist erinevatele organisatsioonis kasutatavatele platvormidele. Venemaal on enimkasutatud operatsioonisüsteemid MS-DOS, Windows 95, NetWare ja Windows NT. UNIX-i erinevad murded pole siin veel nii levinud kui läänes. Lisaks ei mõjuta võrgutasemel sissetungituvastussüsteemid võrgu jõudlust praktiliselt.
Hostipõhised sissetungimise tuvastamise süsteemid on loodud töötama kindlas operatsioonisüsteemis, mis seab neile teatud piirangud. Näiteks ei ole ma teadlik ühestki selle klassi süsteemist, mis käitab MS-DOS-i või Windows jaoks Töörühmad (ja need operatsioonisüsteemid on Venemaal endiselt üsna levinud). Kasutades teadmisi selle kohta, kuidas operatsioonisüsteem peaks käituma, võivad selle lähenemisviisiga loodud tööriistad mõnikord tuvastada sissetungi, mida võrgu sissetungi tuvastamise tööriistad eiravad. Kuid see on sageli kulukas, sest seda tüüpi avastuste tegemiseks vajalik pidev logimine vähendab oluliselt kaitstud hosti jõudlust. Sellised süsteemid koormavad tugevalt protsessorit ja nõuavad palju kettaruumi logide salvestamiseks ning põhimõtteliselt ei sobi reaalajas töötavate ülikriitiliste süsteemide jaoks (näiteks panga igapäevane süsteem või järelevalvesüsteem). . Sellest hoolimata saab mõlemat lähenemisviisi kasutada teie organisatsiooni kaitsmiseks. Kui soovite kaitsta ühte või mitut hosti, võivad hostitaseme sissetungimise tuvastamise süsteemid olla hea valik. Kuid kui soovite kaitsta enamikku organisatsiooni võrgusõlmedest, on võrgutasemel sissetungimise tuvastamise süsteemid ilmselt parim valik, kuna võrgu sõlmede arvu suurendamine ei mõjuta sissetungituvastussüsteemiga saavutatavat turvataset. Ta saab hakkama ilma lisaseaded kaitsta täiendavaid sõlmi, samas kui hostitasemel töötava süsteemi kasutamisel tuleb see installida ja konfigureerida igasse kaitstud hosti. Ideaalne lahendus oleks rünnakutuvastussüsteem, mis ühendab mõlemat lähenemist.
Tänapäeval turul olevad kaubanduslikud sissetungituvastussüsteemid (IDS) kasutavad rünnakute äratundmiseks ja tõrjumiseks kas võrgu- või süsteemipõhist lähenemist. Igal juhul otsivad need tooted rünnaku allkirjad, konkreetsed mustrid, mis tavaliselt viitavad vaenulikule või kahtlasele tegevusele. Nende mustrite otsimisel võrguliikluses töötab IDS võrgu tasandil. Kui IDS otsib operatsioonisüsteemi või rakenduste logidest rünnakusignatuure, siis see süsteemi tasandil. Igal lähenemisviisil on oma eelised ja puudused, kuid need mõlemad täiendavad üksteist. Kõige tõhusam on rünnakutuvastussüsteem, mis kasutab oma töös mõlemat tehnoloogiat. Selles materjalis käsitletakse rünnakute tuvastamise meetodite erinevusi võrgu ja süsteemi tasandil, et näidata nende tugevaid ja nõrku külgi. Samuti kirjeldatakse iga meetodi kasutamise võimalusi rünnakute kõige tõhusamaks tuvastamiseks.
1.1. Rünnakute tuvastamine võrgu tasemel
Võrgukihi rünnakutuvastussüsteemid kasutavad analüüsi andmeallikana toorvõrgupakette. Tavaliselt kasutavad võrgukihi IDS-id võrguadapterit, mis töötab promiscuous-režiimis ja analüüsib liiklust reaalajas, kui see võrgusegmenti läbib. Rünnakute tuvastamise moodul kasutab laialdaselt nelja tuntud meetodid rünnaku allkirja äratundmiseks:
o liikluse vastavus rünnakule või kahtlasele tegevusele viitava mustri (signatuuri), väljendi või baitkoodiga;
o sündmuste sageduse või lävendi ületamise jälgimine;
o mitme madala prioriteediga sündmuse korrelatsioon;
o Statistiliste kõrvalekallete tuvastamine.
Kui rünnak on tuvastatud, pakub reageerimismoodul laias valikus teateid, häireid ja rünnakule reageerimiseks vastumeetmeid. Need valikud on süsteemiti erinevad, kuid hõlmavad tavaliselt järgmist: administraatori teavitamine konsooli või meili teel, ühenduse katkestamine ründava hostiga ja/või seansi salvestamine hilisemaks analüüsiks ja tõendite kogumiseks.
1.2. Süsteemitaseme rünnaku tuvastamine
1980. aastate alguses, enne võrgu loomise algust, oli kõige levinum rünnakute tuvastamise tava vaadata üle logid sündmuste kohta, mis viitaksid kahtlasele tegevusele. Kaasaegsed süsteemitasemel rünnakutuvastussüsteemid on endiselt võimas tööriist mineviku rünnakute mõistmiseks ja sobivate tehnikate tuvastamiseks tulevaste rünnakute leevendamiseks. Kaasaegsed süsteemitasemel IDS-id kasutavad endiselt logisid, kuid need on muutunud automatiseeritumaks ja sisaldavad keerukaid meetodeid põhinevad tuvastamised uusim uurimus matemaatika vallas. Tavaliselt jälgib süsteemitasemel IDS süsteemi, sündmuste ja turbelogisid (turvalogid või syslogid) võrkudes, mis töötavad Windowsi juhtimine NT või Unix. Kui mõni neist failidest muutub, võrdleb IDS uusi kirjeid ründesignatuuridega, et näha, kas need vastavad. Kui selline vaste leitakse, saadab süsteem administraatorile häire või aktiveerib muud määratud reageerimismehhanismid.
Süsteemitaseme IDS areneb pidevalt, kaasates järk-järgult üha uusi ja uusi tuvastamismeetodeid. Üks selline populaarne meetod on kontrollida võtmesüsteemi ja käivitatavate failide kontrollsummasid korrapäraste ajavahemike järel, et kontrollida volitamata muudatusi. Vastamise õigeaegsus on otseselt seotud küsitluse sagedusega. Mõned tooted kuulavad aktiivseid porte ja teavitavad administraatorit, kui keegi proovib neile juurde pääseda. Seda tüüpi tuvastamine toob töökeskkonda algelise võrgutaseme rünnakutuvastuse taseme.
1.3. Rünnakute tuvastamise süsteemide eelised võrgu tasandil
Võrgutasemel IDS-idel on palju eeliseid, mis süsteemitasemel sissetungituvastussüsteemidel puuduvad. Tegelikult kasutavad paljud kliendid võrgukihi sissetungimise tuvastamise süsteemi selle madala hinna ja õigeaegse reageerimise tõttu. Allpool on toodud peamised põhjused, mis muudavad võrgutaseme rünnakute tuvastamise tõhusa turvapoliitika rakendamise kõige olulisemaks komponendiks.
1. Madalad operatsioonikulud. Võrgukihi IDS tuleb installida võrgu kriitilistesse kohtadesse, et juhtida liiklust mitme süsteemi vahel. Võrgukihi süsteemid ei nõua sissetungimise tuvastamise tarkvara installimist igasse hosti. Kuna kohti, kuhu IDS-id kogu võrgu jälgimiseks installitakse, on vähe, on nende käitamise kulud ettevõtte võrgus madalamad kui ründetuvastussüsteemide käitamise kulud süsteemi tasemel.
2. Tuvastage rünnakud, mis on süsteemi tasemel vastamata. Võrgukihi IDS-id uurivad võrgupakettide päiseid kahtlase või vaenuliku tegevuse suhtes. Süsteemitaseme IDS-id ei tegele pakettide päistega, mistõttu nad ei suuda seda tüüpi rünnakuid tuvastada. Näiteks saab paljusid võrgurünnakuid, nagu teenuse keelamine ja pisar, tuvastada ainult pakettide päiste analüüsimisel, kui need läbivad võrku. Seda tüüpi rünnakuid saab kiiresti tuvastada võrgukihi IDS-i abil, mis vaatab liiklust reaalajas. Võrgukihi IDS-id saavad uurida paketi andmekeha sisu, otsides konkreetsetes rünnakutes kasutatavaid käske või spetsiifilist süntaksit. Näiteks kui häkker üritab Back Orifice programmi kasutada süsteemides, mida see veel ei mõjuta, saab selle fakti avastada paketi andmekeha sisu uurides. Nagu ülalpool mainitud, ei tööta süsteemitaseme süsteemid võrgu tasemel ega suuda seetõttu selliseid rünnakuid ära tunda.
3. Häkkeril on raskem oma kohaloleku jälgi eemaldada. Võrgukihi IDS kasutab rünnakute reaalajas tuvastamiseks reaalajas liiklust. Seega ei saa häkker oma kohaloleku jälgi eemaldada. Analüüsitavad andmed ei sisalda ainult teavet ründemeetodi kohta, vaid ka teavet, mis võib aidata ründajat tuvastada ja seda kohtus tõestada. Kuna paljud häkkerid on logidega põhjalikult tuttavad, teavad nad, kuidas neid faile manipuleerida, et peita oma tegevuse jälgi, vähendades süsteemitaseme süsteemide tõhusust, mis nõuavad seda teavet rünnaku tuvastamiseks.
4. Reaalajas tuvastamine ja reageerimine. Võrgutaseme IDS tuvastab kahtlased ja vaenulikud rünnakud NEED TOIMUMISE KORRAL ning annab seetõttu palju kiirema teavituse ja reageerimise kui süsteemitaseme IDS. Näiteks saab häkkerit, kes käivitab TCP-põhise võrgukihi teenuse keelamise rünnaku, peatada võrgukihi IDS, kes saadab TCP paketi päises lähtestuslipu, et katkestada ühendus ründava hostiga enne, kui rünnak hävitab või kahjustab sihtmärk hosta Süsteemitaseme IDS-id ei tunne tavaliselt rünnakuid ära enne, kui rünnak on logitud, ja reageerivad pärast rünnaku logimist. Sel hetkel enamik olulised süsteemid või ressursid võivad olla juba ohus või süsteemitaseme IDS-i töötav süsteem võib olla ohustatud. Reaalajas teavitus võimaldab teil kiiresti reageerida vastavalt eelnevalt määratletud parameetritele. Need reaktsioonid ulatuvad jälgimisrežiimis sissetungimise lubamisest, et koguda teavet rünnaku ja ründaja kohta, kuni rünnaku kohese lõpetamiseni.
5. Ebaõnnestunud rünnakute või kahtlaste kavatsuste tuvastamine. Tulemüüri välisküljele installitud võrgukihi IDS suudab tuvastada tulemüüri taga olevatele ressurssidele suunatud rünnakud, kuigi tulemüür võib need katsed tagasi lükata. Süsteemitaseme süsteemid ei näe peegeldunud rünnakuid, mis ei jõua tulemüüri taga asuvasse hostini. See kadunud teave võib olla turvapoliitika hindamisel ja täiustamisel kõige olulisem.
6. OS-i sõltumatus. Võrgutaseme IDS-id ei sõltu ettevõtte võrku installitud operatsioonisüsteemidest. Süsteemitasemel sissetungituvastussüsteemid vajavad korralikuks toimimiseks ja nõutud tulemuste loomiseks spetsiifilisi operatsioonisüsteeme.
1.4. Süsteemitaseme rünnakutuvastussüsteemide eelised
Kuigi süsteemitasemel sissetungimise tuvastamise süsteemid ei ole nii kiired kui nende võrgutasemel analoogid, pakuvad need eeliseid, mida viimased mitte. Need eelised hõlmavad täpsemat analüüsi, täpsemat tähelepanu hostispetsiifiliste sündmuste andmetele ja madalamaid rakenduskulusid.
1. Kinnitab rünnaku õnnestumist või ebaõnnestumist. Kuna süsteemitaseme IDS-id kasutavad logisid, mis sisaldavad andmeid tegelikult toimunud sündmuste kohta, saavad selle klassi IDS-id seda teha kõrge täpsus teha kindlaks, kas rünnak oli tõesti edukas või mitte. Sellega seoses on süsteemitasemel IDS-id suurepärane täiendus võrgutasemel sissetungimise tuvastamise süsteemidele. See kombinatsioon annab varajase hoiatamise võrgukomponendi kaudu ja rünnaku "edu" süsteemikomponendi kaudu.
2. Kontrollib konkreetse sõlme tegevusi. Süsteemitaseme IDS jälgib kasutajate tegevust, juurdepääsu failidele, muudatusi failiõigustes, katseid installida uusi programme ja/või katseid pääseda juurde privilegeeritud teenustele. Näiteks võib süsteemitaseme IDS jälgida kõiki kasutaja sisse- ja väljalogimistoiminguid, samuti toiminguid, mida iga kasutaja võrguga ühenduses olles teeb. Võrgukihi süsteemil on väga raske pakkuda sellisel tasemel sündmuste üksikasju. Süsteemitasemel sissetungimise tuvastamise tehnoloogia saab jälgida ka tegevusi, mida tavaliselt viib läbi ainult administraator. Operatsioonisüsteemid logivad kõik sündmused, kus kasutajakontosid lisatakse, kustutatakse või muudetakse. Süsteemitaseme IDS-id suudavad tuvastada vastava muudatuse kohe, kui see toimub. Süsteemitaseme IDS-id saavad auditeerida ka turbepoliitika muudatusi, mis mõjutavad seda, kuidas süsteemid nende logisid jälgivad jne.
Lõppkokkuvõttes saavad süsteemitasemel sissetungituvastussüsteemid jälgida muudatusi võtmesüsteemifailides või täitmisfailides. Katsed selliseid faile üle kirjutada või Trooja hobuseid installida saab tuvastada ja peatada. Võrgukihi süsteemid jätavad seda tüüpi tegevused mõnikord vahele.
3. Tuvastage rünnakud, mida võrgukihi süsteemid eiravad. Süsteemitaseme IDS-id suudavad tuvastada ründeid, mida võrgutaseme tööriistad ei suuda tuvastada. Näiteks ei saa võrgutasemel rünnakutuvastussüsteemid tuvastada rünnatud serverist endast pärinevaid ründeid.
4. Sobib hästi krüptitud ja kommuteeritud võrkude jaoks. Kuna süsteemitaseme IDS on installitud ettevõtte võrgu erinevatesse hostidesse, saab see ületada mõningaid probleeme, mis ilmnevad võrgutaseme süsteemide kasutamisel kommuteeritud ja krüptitud võrkudes.
Vahetamine võimaldab suuremahulisi võrke hallata mitme väikese võrgusegmendina. Seetõttu võib võrgukihi IDS-i installimiseks olla keeruline määrata parimat asukohta. Mõnikord võib abiks olla pordide ja peegelportide haldamine, lülitite liikluse katvad pordid, kuid need meetodid pole alati rakendatavad. Rünnakute tuvastamine süsteemi tasemel tagab efektiivsema töö kommuteeritud võrkudes, sest... võimaldab paigutada IDS-i ainult nendele sõlmedele, kus seda vaja on.
Teatud tüüpi krüpteerimine seab väljakutseid ka võrgukihi sissetungimise tuvastamise süsteemidele. Sõltuvalt sellest, kus krüptimist teostatakse (link või abonent), võib võrgukihi IDS jääda teatud rünnakute suhtes pimedaks. Süsteemitasemel IDS-idel see piirang puudub. Lisaks analüüsib OS ja seega ka süsteemitaseme IDS dekrüpteeritud sissetulevat liiklust.
5. Peaaegu reaalajas tuvastamine ja reageerimine. Kuigi süsteemitasemel rünnakutuvastus ei anna tõeliselt reaalajas vastust, annab see siiski õige rakendamine, saab rakendada peaaegu reaalses ulatuses. Erinevalt pärandsüsteemidest, mis kontrollivad logide olekut ja sisu etteantud ajavahemike järel, saavad paljud kaasaegsed süsteemitasemel IDS-id OS-ilt katkestuse kohe, kui ilmub uus logikirje. Seda uut kirjet saab kohe töödelda, vähendades oluliselt aega rünnaku äratundmise ja sellele reageerimise vahel. Sündmuse logisse kirjutamise aja ja sissetungituvastussüsteemi poolt selle äratundmiseni jääb viivitus, kuid paljudel juhtudel saab ründaja tuvastada ja peatada enne kahju tekitamist.
6. Ei vaja täiendavat riistvara. Süsteemitasemel sissetungimise tuvastamise süsteemid installitakse olemasolevasse võrguinfrastruktuuri, sealhulgas failiserveritesse, veebiserveritesse ja muudesse kasutatavatesse ressurssidesse. See võimalus võib muuta süsteemitaseme IDS-id väga kuluefektiivseks, kuna nende hooldamiseks, hooldamiseks ja haldamiseks pole vaja võrgus teist sõlme.
7. Madal hind. Kuigi võrgutasemel sissetungimise tuvastamise süsteemid pakuvad kogu võrgu liiklusanalüüsi, on need sageli üsna kallid. Ühe sissetungituvastussüsteemi maksumus võib ületada 10 000 dollarit. Teisest küljest maksavad süsteemitasemel sissetungimise tuvastamise süsteemid sadu dollareid agendi kohta ja ostja saab neid osta, kui ostjal on vaja jälgida ainult mõnda ettevõtte sõlme, ilma võrgurünnakuid jälgimata.
1.5. Vajadus nii võrgu kui ka süsteemi tasemel ründetuvastussüsteemide järele
Mõlemad lahendused: IDS-il nii võrgu kui ka süsteemi tasandil on omad eelised ja eelised, mis üksteist tõhusalt täiendavad. Järgmise põlvkonna IDS peab seega hõlmama integreeritud süsteemi- ja võrgukomponente. Nende kahe tehnoloogia kombineerimine parandab oluliselt võrgu vastupanuvõimet rünnetele ja kuritarvitele, võimaldab karmistada turvapoliitikat ja muuta võrguressursside töös paindlikumaks.
Allolev joonis illustreerib, kuidas süsteemitasemel ja võrgutasemel rünnakute tuvastamise tehnikad toimivad tõhusama võrgukaitsesüsteemi loomisel. Mõnda sündmust saab tuvastada ainult kasutades võrgusüsteemid. Teised - kasutavad ainult süsteemseid. Mõned nõuavad usaldusväärse tuvastamise saavutamiseks mõlemat tüüpi rünnaku tuvastamist.
Joonis 1. IN ründetuvastusmeetodite koostoime süsteemi ja võrgu tasandil
1.6. Rünnakute tuvastamise süsteemide nõuete loetelu
järgmine põlvkond
Järgmise põlvkonna sissetungimise tuvastamise süsteemide funktsioonid:
1. Rünnakute tuvastamise võimalused süsteemi ja võrgu tasandil, integreeritud ühtsesse süsteemi.
2. Ühine halduskonsool koos ühtse liidesega toote konfigureerimiseks, halduspoliitikaks ja üksikute sündmuste kuvamiseks nii süsteemist kui ka võrgu komponendid rünnakute tuvastamise süsteemid.
3. Integreeritud sündmuste andmebaas.
4. Integreeritud aruannete koostamise süsteem.
5. Sündmuste korrelatsiooni võimalus.
6. Integreeritud võrguabi intsidentidele reageerimiseks.
7. Ühtsed ja järjepidevad paigaldusprotseduurid.
8. Oma sündmuste juhtimise võimaluse lisamine.
1998. aasta neljandas kvartalis ilmus RealSecureT versioon 3.0, mis vastab kõigile neile nõuetele.
· RealSecure jälgimismoodul – tuvastab rünnakud võrgu tasemel Etherneti võrgud, Fast Ethernet, FDDI ja Token Ring.
· RealSecure Agent – tuvastab rünnakud serverite ja muude süsteemiseadmete vastu.
· RealSecure Manager – halduskonsool, mis pakub jälgimismoodulite ja RealSecure agentide konfigureerimist ning integreerib võrguliikluse ja süsteemilogide reaalajas analüüsi.
2. Terve maailm on täis rünnakuid
Erinevat tüüpi rünnakute eest kaitsmiseks võite kasutada kahte strateegiat. Esimene on osta enim reklaamitud (kuigi mitte alati parimad) süsteemid, et kaitsta igat tüüpi rünnakute eest. See meetod on väga lihtne, kuid nõuab suuri rahalisi investeeringuid. Seda ei tee ükski kodukasutaja ega isegi organisatsiooni juht. Seetõttu kasutatakse enamasti teist strateegiat, mis seisneb tõenäoliste ohtude eelanalüüsis ja hilisemas kaitsevahendite valikus nende vastu.
Ohuanalüüsi ehk riskianalüüsi saab teha ka kahel viisil. Keeruline, kuid tõhusam viis on see, et enne kõige tõenäolisemate ohtude valimist tehakse infosüsteemi, selles töödeldava teabe, kasutatava tarkvara ja riistvara jms analüüs. See kitsendab oluliselt potentsiaalsete rünnete ulatust ja suurendab seeläbi ostetud turvatoodetesse raha paigutamise efektiivsust. Selline analüüs nõuab aga aega, raha ja, mis kõige tähtsam, kõrgelt kvalifitseeritud spetsialiste, kes viivad läbi analüüsitava võrgu inventuuri. Vähesed ettevõtted, rääkimata kodukasutajatele, saavad endale seda teed lubada. Mida teha? Kaitsetööriistade valiku saab teha nn standardsete ohtude ehk kõige levinumate ohtude põhjal. Hoolimata asjaolust, et mõned kaitstud süsteemile omased ohud võivad jääda järelevalveta, jäävad enamik neist siiski visandatud raamistikku. Mis tüüpi ähvardused ja rünnakud on kõige levinumad? See artikkel on pühendatud sellele küsimusele vastamiseks. Esitatud andmete täpsemaks muutmiseks kasutan erinevatest allikatest saadud statistikat.
Numbrid, numbrid, numbrid...
Kes sooritab kõige sagedamini arvutikuritegusid ja sooritab erinevaid ründeid? Millised on levinumad ohud? Esitan andmed, mis on saadud selle valdkonna autoriteetseimast allikast - Computer Security Institute (CSI) ja FBI San Francisco kontori arvutirünnakute rühmast. Need andmed avaldati 2000. aasta märtsis aastaaruandes "2000 CSI/FBI Computer Crime and Security Survey". Nende andmete kohaselt:
· 90% vastanutest (suurettevõtted ja riiklikud organisatsioonid) on salvestanud erinevaid ründeid oma inforessursside vastu;
· 70% vastanutest registreeris tõsiseid turvapoliitika rikkumisi, nagu viirused, teenuse keelamise rünnakud, töötajate väärkohtlemine jne;
· 74% vastanutest kandis nende rikkumiste tõttu olulist rahalist kahju.
Ka julgeolekupoliitika rikkumistest tulenevad kahjud on viimastel aastatel kasvanud. Kui 1997. aastal oli kahjude summa 100 miljonit dollarit, 1999. aastal 124 miljonit, siis 2000. aastal kasvas see näitaja 266 miljoni dollarini.Teenuse keelamise rünnetest tekkinud kahjude summa ulatus 8,2 miljoni dollarini Muud huvitavad andmed hõlmavad rünnakute allikaid, tüüpe levinumate rünnakute ja nendest tulenevate kaotuste suurusest.
Neid andmeid kinnitab ka teine autoriteetne allikas – CERTi koordinatsioonikeskus. Lisaks langeb tema kogutud andmetel turvaintsidentide arvu kasv kokku interneti levikuga.
Huvi e-kaubanduse vastu kiirendab seda kasvu lähiaastatel. Täheldatud on ka teist suundumust. 80ndatel ja 90ndate alguses ründasid välised ründajad veebisaite uudishimust või oma oskuste demonstreerimiseks. Nüüd on rünnakutel enamasti rahalised või poliitilised eesmärgid. Paljude analüütikute hinnangul kasvas ainuüksi 1999. aastal edukate infosüsteemidesse tungimiste arv eelmise aastaga võrreldes kaks korda (12-lt 23%-le). See suundumus jätkub nii 2000. kui ka 2001. aastal.
Selles piirkonnas on ka Venemaa statistika. Ja kuigi see on puudulik ja esindab paljude ekspertide sõnul vaid jäämäe tippu, esitan need arvud siiski. 2000. aastal registreeriti Siseministeeriumi andmetel 1375 arvutikuritegu. Võrreldes 1999. aastaga on see näitaja kasvanud enam kui 1,6 korda. Venemaa Föderatsiooni Siseministeeriumi kõrgtehnoloogia valdkonna kuritegude vastu võitlemise osakonna (R osakond) andmed näitavad, et suurem osa kuritegudest – 584 kogusummast – on seotud ebaseadusliku juurdepääsuga arvutiteabele; varalise kahju tekitamisega arvutivahenditega 258 juhtumit; 172 kuritegu on seotud erinevate viiruste, õigemini “arvutite pahavara” loomise ja levitamisega; 101 kuritegu - sarjast “illegaalne tootmine või omandamine tehniliste vahendite müümise eesmärgil ebaseaduslik kättesaamine teave", 210 - pettused arvuti- ja telekommunikatsioonivõrkude abil; 44 - arvutite ja nende võrkude käitamise reeglite rikkumine.
3. Kuidas kaitsta end kaugrünnakute eest Internetis?
Interneti eripära on tänapäeval see, et 99% võrgu teaberessurssidest on avalikult kättesaadavad. Kaugjuurdepääsu neile ressurssidele saab teha anonüümselt iga volitamata võrgukasutaja. Sellise volitamata juurdepääsu näide avalikele ressurssidele on ühenduse loomine WWW- või FTP-serveritega, kui selline juurdepääs on lubatud.
Olles otsustanud, millistele Interneti-ressurssidele kasutaja kavatseb juurde pääseda, tuleb vastata järgmisele küsimusele: kas kasutaja lubab oma ressurssidele võrgust kaugjuurdepääsu? Kui ei, siis on mõttekas kasutada võrgu OS-ina "puhtalt kliendi" OS-i (näiteks Windows 95 või NT Workstation), mis ei sisalda serveriprogramme, mis pakuvad kaugjuurdepääsu ja seega ka kaugjuurdepääsu sellele. süsteem põhimõtteliselt võimatu, kuna seda lihtsalt tarkvaras ei pakuta (näiteks Windows OS "95 või NT, kuigi ühega, kuid: nende jaoks pole tõesti süsteemi FTP serverid, TELNET, WWW jne, kuid ei tohi unustada ka sisseehitatud võimalust pakkuda failisüsteemile kaugjuurdepääsu, nn. jagada ressursse. Ja meenutades Microsofti vähemalt kummalist positsiooni oma süsteemide turvalisuse tagamisel, peate enne selle ettevõtte toodete valimist tõsiselt mõtlema. Viimane näide: Internetti ilmus programm, mis pakub ründajale volitamata kaugjuurdepääsu Windows NT 4.0 OS-i failisüsteemile!). Kliendi operatsioonisüsteemi valik lahendab suures osas antud kasutaja turvaprobleemid (ressursile, mida lihtsalt pole, ei pääse ligi!). Sel juhul aga süsteemi funktsionaalsus halveneb. Siin on meie arvates õigeaegne sõnastada turvalisuse põhiaksioom:
Ohutuse aksioom. Arvutussüsteemi ligipääsetavuse, mugavuse, kiiruse ja funktsionaalsuse põhimõtted on vastuolus selle turvalisuse põhimõtetega.
See aksioom on põhimõtteliselt ilmne: mida ligipääsetavam, mugavam, kiirem ja multifunktsionaalsem on lennuk, seda vähem turvaline see on. Näiteid võib tuua palju. Näiteks DNS-teenus: mugav, kuid ohtlik.
Pöördume tagasi kasutaja valitud kliendivõrgu OS-i juurde. See, muide, on üks väga mõistlik samme, mis viib isolatsionismi võrgustikupoliitikani. See võrguturbepoliitika on teie arvutisüsteemi võimalikult täielik isoleerimine välismaailmast. Samuti on selle poliitika tagamise üheks sammuks näiteks tulemüürisüsteemide kasutamine, mis võimaldavad luua spetsiaalse kaitstud segmendi (näiteks privaatvõrgu), mis on eraldatud globaalsest võrgust. Loomulikult ei takista miski teil seda võrguisolatsioonipoliitikat absurdini viia – lihtsalt võtke võrgukaabel lahti (täielik isolatsioon välismaailmast!). Ärge unustage, et see on ka "lahendus" kõikidele kaugrünnakute ja võrguturbega seotud probleemidele (nende täieliku puudumise tõttu).
Seega laske Interneti-kasutajal otsustada kasutada võrgule juurdepääsuks ainult kliendivõrgu OS-i ja kasutada seda ainult volitamata juurdepääsu tegemiseks. Kas turvaprobleemid on lahendatud? Üldse mitte! Kõik oleks hästi, kui poleks nii hull. Teenuse keelamise ründe puhul ei oma tähtsust ei kasutaja kasutatava juurdepääsu tüüp ega võrgu OS-i tüüp (kuigi ründevastase kaitse seisukohalt on kliendi OS mõnevõrra eelistatavam). See rünnak, mis kasutab Interneti-protokollide ja infrastruktuuri põhilisi turvavigu, ründab kasutaja hosti võrgu OS-i ainsa eesmärgiga – häirida selle funktsionaalsust. Teenuse keelamisele suunatud ICMP valemarsruudi rünnaku puhul on kõige ahvatlevamaks sihtmärgiks Windows 95 või Windows NT. Sel juhul jääb kasutajal üle vaid loota, et tema tagasihoidlik host ei paku kellelegi huvi. Ründaja, kes võib selle toimimist häirida ainult soovist lihtsalt pahandust tekitada.
3.1. Administratiivsed kaitsemeetodid Interneti kaugrünnakute eest
Kõige õigem samm selles suunas oleks kutsuda spetsialist infoturbe, kes koos teiega püüab lahendada kõik probleemid, et tagada teie hajutatud lennukite nõutav turvatase. Tegemist on üsna keerulise keeruka ülesandega, mille lahendamiseks on vaja kindlaks teha, mis (RVS-i kontrollitavate objektide ja ressursside loetelu), millest (selle RVS-i võimalike ohtude analüüs) ja kuidas (nõuete väljatöötamine, määratlemine) turvapoliitika ning haldus- ja riistvaraliste meetmete väljatöötamine, et tagada praktikas väljatöötatud turvapoliitika) kaitsta.
Võib-olla on kõige lihtsamad ja odavamad administratiivsed kaitsemeetodid teavet hävitavate mõjude eest.
3.1.1. Kuidas kaitsta end võrguliikluse analüüsi eest?
Toimub rünnak, mis võimaldab kräkkeril pealt kuulata mis tahes kaugkasutajate vahel vahetatavat teavet, kuulates programmiliselt võrgu sõnumiedastuskanalit, kui kanali kaudu edastatakse ainult krüpteerimata sõnumeid. Samuti saab näidata, et kaugjuurdepääsu TELNET ja FTP põhirakendusprotokollid ei taga elementaarset krüptograafilist kaitset isegi võrgu kaudu edastatavatele kasutajatunnustele (nimedele) ja autentijatele (paroolidele). Seetõttu võib võrguadministraatoritele ilmselt soovitada mitte lubada nende aluseks olevate protokollide kasutamist kaugjuhtimise jaoks volitatud ligipääsu oma süsteemide ressurssidele ning peavad võrguliikluse analüüsi pidevalt esinevaks ohuks, mida ei ole võimalik kõrvaldada, kuid selle teostuse saab sisuliselt mõttetuks muuta, kasutades IP-voo kaitsmiseks tugevaid krüptoalgoritme.
3.1.2. Kuidas kaitsta end võlts-ARP-serveri eest?
Kui võrgu OS-il puudub teave ühe IP-võrgu segmendi hostide IP- ja Ethernet-aadresside vastavuse kohta, võimaldab see protokoll saata leviedastuse ARP-päringu vajaliku Etherneti aadressi otsimiseks, millele ründaja saab saata vale vastus ja tulevikus peatab ründaja kogu liikluse lingi tasemel ja see läbib vale-ARP-serverit. Ilmselt on selle rünnaku kõrvaldamiseks vaja kõrvaldada põhjus, miks seda saab läbi viia. Selle kaugrünnaku edu peamine põhjus on selle puudumine vajalikku teavet Iga hosti operatsioonisüsteem teab kõigi antud võrgusegmendi teiste hostide vastavaid IP- ja Etherneti aadresse. Seega oleks kõige lihtsam lahendus, kui võrguadministraator koostaks faili kujul staatilise ARP-tabeli (UNIX OS-is tavaliselt /etc/ethers), kuhu tuleb sisestada vastav aadressiinfo. See fail on installitud segmendi igasse hosti ja seetõttu ei pea võrgu OS enam kasutama ARP-i kaugotsingut.
3.1.3. Kuidas kaitsta end võltsitud DNS-serveri eest?
DNS-teenuse kasutamine Internetis selle praegusel kujul võib võimaldada krakkeril saavutada globaalne kontroll ühenduste üle, kehtestades vale marsruudi läbi krakkija hosti - vale DNS-serveri. See võimalikel DNS-teenuse haavatavustel põhinev kaugrünnak võib tuua kaasa katastroofilised tagajärjed suurele hulgale Interneti-kasutajatele ja põhjustada selle ülemaailmse võrgu infoturbe ulatuslikku rikkumist. Järgmised kaks lõiku pakuvad välja võimalikud haldusmeetodid selle kaugrünnaku ärahoidmiseks või takistamiseks võrguadministraatorite ja kasutajate ning DNS-serveri administraatorite jaoks.
a) Kuidas saab võrguadministraator end vale DNS-serveri eest kaitsta?
Lühike vastus sellele küsimusele on ei. DNS-teenuse olemasoleva versiooni rünnaku vastu pole administratiivset ega programmilist kaitset. Turvalisuse seisukohast on parim lahendus DNS-teenust oma turvalises segmendis üldse mitte kasutada! Muidugi on hostidele juurdepääsul nimede kasutamisest täielikult loobumine kasutajatele väga ebamugav. Seetõttu saame pakkuda välja järgmise kompromisslahenduse: kasutage nimesid, kuid loobuge DNS-i kaugotsingu mehhanismist. Arvasite õigesti, see on tagasipöördumine spetsiaalsete DNS-serveritega DNS-eelse kujunduse juurde. Siis oli igal võrgu masinal võõrustajad fail, mis sisaldas teavet kõigi võrgus olevate hostide vastavate nimede ja IP-aadresside kohta. Ilmselgelt saab administraator tänapäeval sellisesse faili sisestada teavet ainult võrguserverite kohta, mida antud segmendi kasutajad kõige sagedamini külastavad. Seetõttu kasutage praktikas see otsusäärmiselt keeruline ja ilmselt ebareaalne (mida peaksime tegema näiteks brauserite puhul, mis kasutavad nimedega URL-e?).
Selle kaugrünnaku keerulisemaks muutmiseks võite soovitada administraatoritel kasutada DNS-teenuse jaoks TCP-protokolli, mitte UDP-protokolli, mis on vaikimisi installitud (kuigi dokumentatsioonist pole kaugeltki selge, kuidas seda muuta). See muudab ründaja jaoks palju keerulisemaks vale DNS-vastuse saatmise hostile ilma DNS-i päringut saamata.
Üldine pettumust valmistav järeldus on järgmine: Internetis, kasutamisel olemasolevaid DNS-teenuse versioonid ei eksisteeri vastuvõetav lahendus vale DNS-serveri eest kaitsmiseks (ja te ei saa keelduda, nagu ARP-i puhul, ja selle kasutamine on ohtlik)!
b) Kuidas saab DNS-serveri administraator end vale DNS-serveri eest kaitsta?
Lühike vastus sellele küsimusele on jällegi mitte mingil juhul. Ainus viis selle kaugrünnaku keerulisemaks muutmiseks on kasutada ainult TCP-d, mitte UDP-d, et suhelda hostide ja muude DNS-serveritega. See aga muudab rünnaku ainult raskemaks – ärge unustage nii DNS-i päringu võimalikku pealtkuulamist kui ka võimalust ennustada matemaatiliselt TCP ISN-i algväärtust.
Kokkuvõtteks võime soovitada kogu Internetil kiiresti üle minna DNS-teenuse uuele turvalisemale versioonile või võtta kasutusele ühtne turvalise protokolli standard. See üleminek on kõigist kolossaalsetest kuludest hoolimata lihtsalt vajalik, vastasel juhul võidakse Internet lihtsalt põlvili suruda, pidades silmas üha sagenevaid edukaid katseid selle teenuse abil selle turvalisust rikkuda!
3.1.4. Kuidas kaitsta end ICMP-protokolli kasutamisel valemarsruudi kehtestamise eest?
Rünnak, mis seisnes vale ICMP ümbersuunamise sõnumi saatmises hostile algse marsruudi muutmise kohta, viis nii teabe pealtkuulamiseni ründajate poolt kui ka rünnatava hosti häirimiseni. Selle kaugrünnaku eest kaitsmiseks peate selle sõnumi kas filtreerima (kasutades tulemüüri või filtriruuterit), et takistada selle jõudmist lõppsüsteemi, või valima sobivalt võrgu OS-i, mis seda teadet ignoreerib. Kuid tavaliselt puudub administratiivne viis võrgu OS-i mõjutamiseks, et see takistaks marsruudi muutmist ja antud sõnumile vastamist. Ainus võimalus, näiteks Linuxi või FreeBSD puhul, on lähtekoodi muuta ja OS-i kernel uuesti kompileerida. Ilmselgelt on selline paljude jaoks eksootiline meetod võimalik ainult operatsioonisüsteemide puhul, mida levitatakse vabalt koos lähtekoodiga. Tavaliselt pole praktikas muud võimalust saada teada kasutatava OS-i reaktsiooni ICMP ümbersuunamissõnumile, kui saata see sõnum ja vaadata, mis tulemus on. Katsed on näidanud, et see teade võimaldab teil muuta marsruutimist operatsioonisüsteemides Linux 1.2.8, Windows "95 ja Windows NT 4.0. Tuleb märkida, et tooted Microsoft pole eriti kaitstud IP-võrkudele omaste võimalike kaugrünnakute eest. Seetõttu tundub ebasoovitav kasutada OS-i andmeid IP-võrgu kaitstud segmendis. See on administratiivne otsus kaitsta võrgusegmenti selle kaugrünnaku eest.
3.1.5. Kuidas kaitsta end teenusest keeldumise eest?
Olemasolevas IPv4 Interneti-standardis ei ole ega saa olla vastuvõetavaid kaitsemeetodeid teenuse keelamise eest. Selle põhjuseks on asjaolu, et selles standardis ei ole sõnumite marsruuti võimalik juhtida. Seetõttu on võimatu tagada usaldusväärset kontrolli võrguühendused, kuna ühel võrgusuhtluse subjektil on võimalus hõivata kaugobjektiga piiramatu arv sidekanaleid ja jääda samal ajal anonüümseks. Seetõttu saab kaugrünnaku abil iga Interneti-serveri täielikult halvata.
Ainus asi, mida selle rünnaku all oleva süsteemi töökindluse suurendamiseks võib soovitada, on kasutada võimalikult võimsaid arvuteid. Kuidas suurem arv ja protsessorite töösagedus, mida suurem on RAM-i hulk, seda usaldusväärsem on võrgu OS-i töö, kui seda tabab suunatud valetaotluste torm ühenduse loomiseks. Lisaks peate kasutama teie arvutusvõimsusele vastavaid opsüsteeme sisemise järjekorraga, mis mahutab paljusid ühenduse taotlusi. Lõppude lõpuks, kui installite superarvutisse näiteks Linuxi või Windows NT operatsioonisüsteemi, kus samaaegselt töödeldud päringute järjekorra pikkus on umbes 10 ja järjekorra tühjendamise ajalõpp on mitu minutit, siis vaatamata kogu arvutusvõimsusele arvutit, halvab ründaja operatsioonisüsteemi täielikult.
3.1.6. Kuidas kaitsta end ühe osapoole asendamise eest, kui suhtlete TCP/IP perekonna põhiprotokollidega
Nagu varem märgitud, ainus põhilised TCP/IP perekonna protokoll, mis algselt täidab ühenduse ja selle abonentide turvalisuse tagamise funktsiooni, on transpordikihi protokoll - TCP-protokoll. Mis puudutab põhilisi rakendustaseme protokolle: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, siis ükski neist ei paku oma tasemel täiendavat ühenduse turvalisust ja jätab lahenduse kõikidele alumise transpordikihi ühenduse turvalisuse tagamise probleemidele. protokoll - TCP. Meenutades aga punktis 4.5 käsitletud võimalikke ründeid TCP-ühenduse vastu, kus märgiti, et kui ründaja on rünnaku eesmärgil samas segmendis, on põhimõtteliselt võimatu kaitsta ühe abonendi võltsimise eest. TCP ühendusest ning erinevates segmentides viibimise korral on TCP ühenduse identifikaatori ISN matemaatilise prognoosimise võimaluse tõttu võimalik ka ühe abonendi asendamine, on lihtne järeldada, et põhi TCP/IP perekonna protokollidega on ühenduse turvalisust peaaegu võimatu tagada! See on tingitud asjaolust, et kahjuks on kõik Interneti põhiprotokollid infoturbe seisukohalt uskumatult vananenud.
Ainuke asi, mida saab võrguadministraatoritele kaitseks soovitada ainult segmentidevahelistest rünnakutest ühendustele - kasutage TCP-protokolli ja võrguoperatsioonisüsteeme põhilise “turvalise” protokollina, milles tegelikult genereeritakse juhuslikult TCP-ühenduse identifikaatori algväärtus (kasutatakse head pseudojuhusliku genereerimise algoritmi uusimad versioonid FreeBSD OS).
3.2. Tarkvara- ja riistvarameetodid Interneti-kaugrünnakute eest kaitsmiseks
Tarkvara ja riistvara arvutivõrkude side infoturbe tagamiseks hõlmavad järgmist:
- võrguliikluse riistvarakrüpteerijad;
- Tulemüüri tehnika, mida rakendatakse tarkvara ja riistvara baasil;
- turvalise võrgu krüptoprotokollid;
- tarkvara ja riistvara võrguliikluse analüsaatorid;
- turvalised võrguoperatsioonisüsteemid.
Nendele Internetis kasutamiseks mõeldud turvatööriistadele on pühendatud tohutul hulgal kirjandust (viimase kahe aasta jooksul võib selleteemalisi artikleid leida peaaegu igast arvutiajakirjast).
Järgmisena kirjeldame võimalikult lühidalt, et mitte kõigile teadaolevat teavet korrata, neid Internetis kasutatavaid turvameetmeid. Seda tehes taotleme järgmisi eesmärke: esiteks, pöördugem taas müüdi juurde "absoluutsest kaitsest", mida tulemüürisüsteemid väidetavalt pakuvad, ilmselt tänu müüjate pingutustele; teiseks võrdleme olemasolevaid Internetis kasutatavaid krüptoprotokollide versioone ja anname sisuliselt hinnangu, kriitiline olukord selles valdkonnas; ja kolmandaks tutvustame lugejatele kaitsevõimalust võrgu turvamonitori abil, mis on loodud kaitstud IP-võrgu segmendis tekkivate olukordade dünaamiliseks jälgimiseks, mis näitab, et sellel segmendil on sooritatud üks 4. peatükis kirjeldatud kaugrünnetest. .
3.2.1. Tulemüüri tehnika kui peamine riist- ja tarkvaratööriist võrguturbepoliitika rakendamiseks spetsiaalses IP-võrgu segmendis
Üldiselt rakendab tulemüüri tehnika järgmist kolme põhifunktsiooni:
1. Võrguliikluse mitmetasandiline filtreerimine.
Filtreerimine toimub tavaliselt kolmes OSI kihis:
võrk (IP);
transport (TCP, UDP);
rakendus (FTP, TELNET, HTTP, SMTP jne).
Võrguliikluse filtreerimine on tulemüürisüsteemide põhifunktsioon ja võimaldab võrguturbe administraatoril tsentraalselt rakendada vajalikku võrguturbepoliitikat spetsiaalses IP-võrgu segmendis, st tulemüüri vastavalt konfigureerides saate lubada või keelata kasutajatele juurdepääsu välisest võrgust. võrku vastavatele hostiteenustele või kaitstud segmendis asuvatele hostidele, samuti kasutaja juurdepääsu sisevõrgust välisvõrgu vastavatele ressurssidele. Analoogia võib tuua kohaliku OS-i administraatoriga, kes turvapoliitika rakendamiseks süsteemis määrab vajalikud vastavad suhted subjektide (kasutajate) ja süsteemiobjektide (näiteks failid) vahel, mis võimaldab piirata. süsteemi subjektide juurdepääs oma objektidele vastavalt administraatori määratud juurdepääsuõigustele. Sama põhjendus kehtib ka tulemüüri filtreerimise kohta: interaktsiooni objektid on kasutajate hostide IP-aadressid ja objektid, millele juurdepääs peab olema piiratud, on kasutatavate hostide IP-aadressid. transpordiprotokollid ja kaugjuurdepääsu teenused.
2. Puhverserver koos kasutajate täiendava tuvastamise ja autentimisega tulemüüri hostis.
Puhverserveri skeem võimaldab esiteks tulemüüriga kaitstud võrgusegmendile juurdepääsul sellel täiendavalt tuvastada ja autentida kaugkasutaja ja teiseks on see virtuaalse IP-aadressiga privaatvõrkude loomise aluseks. Puhverserveri skeemi tähendus on luua ühendus lõppsihtkohaga tulemüüri hostis asuva vahepealse puhverserveri (inglise keelest autoriteetne puhverserver) kaudu. Abonendi täiendavat tuvastamist saab teha sellel puhverserveril.
3. Privaatvõrkude (Private Virtual Network – PVN) loomine “virtuaalsete” IP-aadressidega (NAT – Network Address Translation).
Kui võrguturbeadministraator peab soovitavaks varjata oma sisemise IP-võrgu tegelikku topoloogiat, võib talle soovitada privaatvõrgu (PVN-võrgu) loomiseks kasutada tulemüürisüsteeme. PVN-võrgu hostidele määratakse kõik "virtuaalsed" IP-aadressid. Välisvõrku adresseerimiseks (tulemüüri kaudu) peate kas kasutama tulemüüri hostis ülalkirjeldatud puhverservereid või spetsiaalsed süsteemid marsruutimine (marsruutimine), ainult mille kaudu on võimalik väline adresseerimine. Selle põhjuseks on asjaolu, et sisemises PVN-võrgus kasutatav virtuaalne IP-aadress ei sobi ilmselt väliseks adresseerimiseks (väline adresseerimine on adresseerimine väljaspool PVN-võrku asuvatele abonentidele). Seetõttu peab puhverserver või marsruutimistööriist suhtlema välisvõrgu abonentidega oma tegeliku IP-aadressi kaudu. Muide, see skeem on mugav, kui teile on IP-võrgu loomiseks eraldatud ebapiisav arv IP-aadresse (IPv4 standardis juhtub seda kogu aeg, nii et täisväärtusliku IP-võrgu loomiseks puhverserveriskeemi abil ühest eraldatud IP-st piisab puhverserveri aadressidest).
Seega on iga seade, mis rakendab vähemalt ühte neist tulemüüritehnika funktsioonidest, tulemüüriseade. Näiteks ei takista miski kasutamast tulemüüri hostina tavalise FreeBSD või Linux OS-iga arvutit, mille OS-i kernel tuleb vastavalt kompileerida. Seda tüüpi tulemüür pakub ainult IP-liikluse mitmetasandilist filtreerimist. Teine asi on see, et turul pakutavad võimsad arvuti või miniarvuti baasil valmistatud Firewall kompleksid realiseerivad reeglina kõiki Firewall meetodi funktsioone ja on täisfunktsionaalsed Firewall süsteemid. Järgmisel joonisel on kujutatud võrgusegment, mis on välisvõrgust eraldatud täielikult toimiva tulemüüri hostiga.
Riis. 2. Täisfunktsionaalse tulemüüri hosti üldistatud diagramm.
Tulemüürisüsteemide reklaamile alistunud IP-võrguadministraatorid ei tohiks aga eksida, et tulemüür on absoluutse kaitse tagatis Interneti kaugrünnakute eest. Tulemüür ei ole niivõrd turbetööriist, kuivõrd see on võimalus tsentraalselt rakendada võrgupoliitikat, et piirata kaugjuurdepääsu teie võrgus saadaolevatele ressurssidele. Jah, kui näiteks sellele hostile TELNET-i kaugjuurdepääs on keelatud, siis tulemüür takistab selle juurdepääsu kindlasti. Kuid tõsiasi on see, et enamikul kaugrünnakutel on täiesti erinevad eesmärgid (pole mõtet püüda saada teatud tüüpi juurdepääsu, kui see on tulemüürisüsteemi poolt keelatud). Milliseid kaugrünnakuid saab tulemüür ära hoida? Võrguliikluse analüüs? Ilmselgelt mitte! Vale ARP-server? Jah ja ei (kaitseks pole üldse vaja tulemüüri kasutada). Vale DNS-server? Ei, kahjuks ei ole tulemüür siin teie abiks. Kas sundida ICMP-d kasutades vale marsruuti? Jah, tulemüür suudab selle rünnaku hõlpsalt tõrjuda, filtreerides ICMP-sõnumeid (kuigi piisab filtreerivast ruuterist, näiteks Ciscost). TCP-ühenduse ühe subjekti asendamine? Vastus on eitav; Tulemüüril pole sellega absoluutselt mingit pistmist. Kas häirida hosti, tekitades suunatud valepäringute tormi või ujutades üle päringujärjekorra? Sel juhul teeb tulemüüri kasutamine asja ainult hullemaks. Kõigi tulemüürisüsteemiga kaitstud segmendis olevate hostide keelamiseks (välismaailmast äralõigamiseks) peab ründaja ründama ainult ühte tulemüüri, mitte mitut hosti (seda on lihtne seletada asjaoluga, et sisemiste hostide ühendamine koos välismaailm võimalik ainult tulemüüri kaudu).
üldse mitte piisav
Kõigest eelnevast ei järeldu sugugi, et Firewall süsteemide kasutamine oleks absoluutselt mõttetu. Ei, hetkel pole sellele tehnikale alternatiivi (täpselt tehnikana!). Siiski peame selgelt mõistma ja meeles pidama selle peamist eesmärki. Meile tundub, et tulemüüri tehnika kasutamine võrgu turvalisuse tagamiseks on vajalik, kuid üldse mitte piisav tingimusel ja te ei tohiks eeldada, et tulemüüri installimisega lahendate kohe kõik võrguturbega seotud probleemid ja vabanete kõigist võimalikest Interneti-kaugrünnakutest. Turvalisuse seisukohalt mäda Internetti ei saa kaitsta ühegi tulemüüriga!
3.2.2. Internetis kasutatavad tarkvara kaitsemeetodid
Tarkvaralised Interneti-kaitsemeetodid hõlmavad ennekõike turvalisi krüptoprotokolle, mille abil on võimalik ühendust usaldusväärselt kaitsta. Järgmises lõigus käsitletakse praegu Internetis olemasolevaid lähenemisviise ja peamisi juba välja töötatud krüptoprotokolle.
Teine kaugrünnakute eest kaitsmise tarkvarameetodite klass hõlmab tänapäeval olemasolevaid programme, mille põhieesmärk on analüüsida võrguliiklust ühe teadaoleva aktiivse kaugrünnaku olemasolu suhtes.
a) SKIP-tehnoloogia ja krüptoprotokollid SSL, S-HTTP kui peamised vahendid ühenduse ja Internetis edastatavate andmete kaitsmiseks
Üks hajuslennukite kaugrünnakute edu peamisi põhjuseid seisneb võrguvahetusprotokollide kasutamises, mis ei suuda kaugobjekte usaldusväärselt tuvastada ega kaitsta ühendust ja selle kaudu edastatavaid andmeid. Seetõttu on üsna loomulik, et Interneti toimimise ajal on mitmesugused turvalised võrguprotokollid, kasutades nii privaat- kui ka avaliku võtmega krüptograafiat. Klassikaline sümmeetriliste krüptoalgoritmidega krüptograafia eeldab, et saate- ja vastuvõtupoolel on sümmeetrilised (identsed) võtmed sõnumite krüpteerimiseks ja dekrüpteerimiseks. Eeldatakse, et need võtmed jaotatakse eelnevalt piiratud arvu abonentide vahel, mida krüptograafias nimetatakse standardseks staatilise võtmejaotuse probleemiks. On ilmne, et sümmeetriliste võtmetega klassikalise krüptograafia kasutamine on võimalik ainult piiratud hulgal objektidel. Internetis pole ilmselgelt võimalik lahendada staatilise võtme jaotamise probleemi kõigile selle kasutajatele. Üks esimesi turvalisi vahetusprotokolle Internetis oli aga Kerberose protokoll, mis põhines täpselt võtmete staatilisel jaotamisel piiratud arvu abonentide jaoks. Meie luureteenistused on sunnitud järgima sama teed, kasutades klassikalist sümmeetrilist krüptograafiat, töötades oma turvalisi krüptoprotokolle Interneti jaoks. Seda seletatakse asjaoluga, et millegipärast pole siiani veel heaks kiidetud avaliku võtmega krüptoalgoritmi. Kõikjal maailmas on sarnased krüpteerimisstandardid juba ammu vastu võetud ja sertifitseeritud, kuid ilmselt läheme jälle teist teed!
Seega on selge, et kogu Interneti-kasutajate hulga, mitte selle piiratud alamhulga kaitsmiseks on vaja avaliku võtme kasutamisel kasutada võtmeid, mis genereeritakse dünaamiliselt virtuaalse ühenduse loomise protsessis. krüptograafia. Järgmisena vaatleme peamisi praegusi lähenemisviise ja protokolle, mis pakuvad ühenduse turvalisust.
VAHELE JÄTMA(Secure Key Internet Protocol) tehnoloogia on IP-pakettide kapseldamise standard, mis võimaldab olemasolevas IPv4 standardis kaitsta ühendust ja selle kaudu edastatavaid andmeid võrgu tasandil. See saavutatakse järgmiselt: SKIP-pakett on tavaline IP-pakett, mille andmeväljaks on spetsifikatsiooniga määratletud formaadis SKIP-i päis ja krüptogramm (krüpteeritud andmed). Selline SKIP-paketi struktuur võimaldab selle sujuvalt edastada igale Interneti-hostile (võrguaadress toimub SKIP-paketi tavapärase IP-päise abil). SKIP-paketi lõpp-saaja dekrüpteerib vastavalt arendajate poolt etteantud algoritmile krüptogrammi ja moodustab tavalise TCP- või UDP-paketi, mis edastatakse operatsioonisüsteemi tuuma vastavasse tavamoodulisse (TCP või UDP). Põhimõtteliselt ei takista miski arendajal selle skeemi järgi oma esialgset päist, mis erineb SKIP-i päisest, moodustamast.
S-HTTP(Secure HTTP) on turvaline HTTP-protokoll, mille on välja töötanud Enterprise Integration Technologies (EIT) spetsiaalselt veebi jaoks. S-HTTP-protokoll võimaldab usaldusväärset krüptograafilist kaitset ainult veebiserveri HTTP-dokumentidele ja töötab OSI-mudeli rakendustasemel. See S-HTTP-protokolli funktsioon muudab selle ühenduse kaitsmiseks absoluutselt spetsiaalseks vahendiks ja seetõttu on seda võimatu kasutada kõigi teiste rakendusprotokollide (FTP, TELNET, SMTP jne) kaitsmiseks. Lisaks ei toeta ükski tänapäeval olemasolevatest suurematest veebibrauseritest (ei Netscape Navigator 3.0 ega Microsoft Explorer 3.0) seda protokolli.
SSL(Secure Socket Layer) – Netscape’i poolt välja töötatud – universaalne ühenduse turvaprotokoll, mis töötab OSI seansi tasemel. See avaliku võtme krüptograafiat kasutav protokoll on tänapäeval meie arvates ainus universaalne tööriist, mis võimaldab dünaamiliselt turvata mis tahes ühendust mis tahes rakendusprotokolli (DNS, FTP, TELNET, SMTP jne) abil. Selle põhjuseks on asjaolu, et SSL, erinevalt S-HTTP-st, töötab OSI vahepealsel seansikihil (transpordi - TCP, UDP - ja rakenduse - FTP, TELNET jne vahel). Sel juhul toimub virtuaalse SSL-ühenduse loomise protsess vastavalt Diffie ja Hellmani skeemile (punkt 6.2), mis võimaldab teil välja töötada krüptokindla seansivõtme, mida SSL-ühenduse abonendid seejärel edastatud krüptimiseks kasutavad. sõnumid. SSL-protokoll on tänapäeval praktiliselt kujunenud HTTP-ühenduste ehk veebiserverite kaitsmise ametlikuks turvastandardiks. Seda toetab loomulikult Netscape Navigator 3.0 ja kummalisel kombel Microsoft Explorer 3.0 (pidage meeles Netscape'i ja Microsofti vahelist ägedat brauserisõda). Loomulikult peab veebiserveriga SSL-ühenduse loomiseks olema ka SSL-i toetav veebiserver. Sellised veebiserverite versioonid on juba olemas (näiteks SSL-Apache). SSL-protokolli puudutava vestluse lõpetuseks ei saa jätta märkimata järgmist tõsiasja: USA seadused keelasid kuni viimase ajani enam kui 40-bitise võtmepikkusega krüptosüsteemide eksporti (hiljuti suurendati seda 56-bitiseks). Seetõttu sisse olemasolevad versioonid brauserid kasutavad 40-bitiseid võtmeid. Krüptanalüütikud leidsid katsete abil, et olemasolevas versioonis SSL-protokoll 40-bitise võtmega krüpteerimine ei ole võrgu kaudu edastatavate sõnumite jaoks usaldusväärne kaitse, kuna lihtsa otsinguga (2-40 kombinatsiooni) valitakse see võti ajavahemikus 1,5 (Silicon Graphics superarvutis) kuni 7 päeva (võrgus). arvutusprotsessis kasutasime 120 tööjaama ja mitut miniarvutit).
Seega on ilmselge, et nende turvaliste vahetusprotokollide, eriti SSL-i laialdane kasutamine (muidugi, võtmepikkusega üle 40 biti), seab usaldusväärse barjääri igasugustele kaugrünnetele ja raskendab tõsiselt. kreekerite elu üle maailma. Tänase Interneti turvalisuse tagamise olukorra kogu traagika seisneb aga selles, et seni pole ühtegi olemasolevat krüptoprotokolli (ja neid on juba palju) võtnud ühtne standardühenduse kaitse, mida toetaksid kõik võrgu OS-i tootjad! Selle rolli jaoks sobib täna saadaval olev SSL-protokoll parim viis. Kui kõik võrgu operatsioonisüsteemid seda toetaksid, siis poleks vaja luua spetsiaalseid rakendusi SSL-ühilduvaid servereid (DNS, FTP, TELNET, WWW jne). Kui me ei nõustu turvalise seansikihi protokolli ühtse standardi vastuvõtmisega, on iga üksiku rakendusteenuse kaitsmiseks vaja vastu võtta palju standardeid. Näiteks on juba välja töötatud eksperimentaalne toetamata turvalise DNS-i protokoll. Samuti on olemas eksperimentaalsed SSL-iga ühilduvad turvalised FTP- ja TELNET-serverid. Kuid sellel kõigel ilma kõigi tootjate toetatud turvalise protokolli ühtse standardi vastuvõtmiseta pole mingit mõtet. Ja täna ei suuda võrgu OS-i tootjad selles teemas ühes seisukohas kokku leppida ja seega suunata nende probleemide lahendused otse Interneti-kasutajatele ja kutsuda neid lahendama. nende probleeme infoturbega, nagu tahavad!
b) Võrgumonitor turvalisuse IP-hoiatus-1
Autorite praktilised ja teoreetilised uurimused hajutatud õhusõidukite, sh Interneti turvalisuse uurimisega seotud valdkonnas (kaks polaarset uurimisvaldkonda: rikkumine ja infoturbe tagamine) viisid ideeni: Internetis, samuti nagu ka teistes võrkudes (Näiteks Novell NetWare, Windows NT), puudub tõsine tarkvarakaitse, mis rakendab keeruline kogu võrgu kaudu edastatava infovoo juhtimine (jälgimine) lingi tasandil, et tuvastada kõiki 4. peatükis kirjeldatud kaugmõjude liike. Interneti võrguturbetarkvara turu uuring paljastas tõsiasja, et meile teadaolevalt ei eksisteeri selliseid kõikehõlmavaid tööriistu kaugmõjude tuvastamiseks ja need, mis on olemas, on mõeldud ühte kindlat tüüpi mõjude tuvastamiseks (nt ICMP Redirect või ARP). Seetõttu alustati IP-võrgu segmendi jälgimistööriista väljatöötamist, mis on mõeldud kasutamiseks Internetis ja sai järgmise nime: võrguturbe monitor IP Alert-1. Selle edastuskanalis programmiliselt võrguliiklust analüüsiva tööriista põhiülesanne ei ole mitte tõrjuda sidekanali kaudu sooritatavaid kaugrünnakuid, vaid neid tuvastada ja logida (auditifaili pidamine koos logimisega hilisemaks visuaalseks kasutamiseks mugavas vormis). kõigi antud võrgusegmendi kaugrünnakutega seotud sündmuste analüüs) ja kaugründe tuvastamise korral koheselt turbeadministraatorile märku andmine. Peamine ülesanne võrgu turvamonitor IP Alert-1 on rakendamine kontroll Interneti vastava segmendi turvalisuse tagamiseks.
Võrgu turvamonitor IP Alert-1 sellel on järgmised funktsioonid ja see võimaldab võrguanalüüsi abil tuvastada järgmised kaugrünnakud selle kontrollitava Interneti-segmendi vastu.
IP Alert-1 võrgu turvamonitori funktsionaalsus
1. IP ja Etherneti aadresside vastavuse jälgimine pakettides, mida edastavad kontrollitud võrgusegmendis asuvad hostid.
IP Alert-1 hostis loob turbeadministraator staatilise ARP-tabeli, kuhu ta sisestab teabe kontrollitud võrgusegmendis asuvate hostide vastavate IP- ja Ethernet-aadresside kohta.
See funktsioon võimaldab tuvastada IP-aadressi volitamata muudatusi või selle asendamist (IP Spoofing).
2. ARP-i kaugotsingu mehhanismi õige kasutamise jälgimine.
See funktsioon võimaldab tuvastada staatilise ARP-tabeli abil vale ARP-i kaugrünnaku.
3. DNS-i kaugotsingu mehhanismi õige kasutamise jälgimine.
See funktsioon võimaldab tuvastada kõiki võimalikke DNS-teenuse kaugrünnakute tüüpe.
4. ICMP ümbersuunamissõnumite olemasolu jälgimine.
See funktsioon teavitab teid, kui tuvastatakse ICMP ümbersuunamise teade ja vastav kaugrünnak.
5. Kaugühenduskatsete õigsuse jälgimine edastatud päringuid analüüsides.
See funktsioon võimaldab esiteks tuvastada katse uurida TCP-ühenduse identifikaatori - ISN-i algväärtuse muutmise seadust, teiseks kaugteenuse keelamise rünnakut, mis viiakse läbi ühendusetaotluse järjekorra ületäitumisel, ja kolmandaks suunatud Valeühenduse taotluste (nii TCP kui ka UDP) "torm", mis viib ka teenuse keelamiseni.
Seega Network Security Monitor IP Alert-1 võimaldab tuvastada, teavitada ja salvestada kõiki peatükis 4 kirjeldatud kaugrünnakuid! See programm ei ole aga mingil juhul tulemüürisüsteemide konkurent. IP Alert-1, kasutades 4. peatükis kirjeldatud ja süstematiseeritud Interneti kaugrünnete funktsioone, toimib tulemüürisüsteemide vajaliku täiendusena – muide, võrreldamatult soodsamalt. Ilma turvamonitorita jääb enamik teie võrgusegmendi kaugrünnakuid teie silme eest varjatuks. Ükski autoritele teadaolev tulemüür ei tegele niivõrd intelligentse võrku läbivate sõnumite analüüsiga, et tuvastada erinevat tüüpi kaugrünnakuid, piirdudes parimal juhul logi pidamisega, mis salvestab teavet TELNETi paroolide äraarvamise katsete kohta. ja FTP, pordi skannimise ja võrgu skannimise kohta, kasutades tuntud võrgu OS-i haavatavuste kaugotsingu programmi - SATAN. Seega, kui IP-võrgu administraator ei taha jääda ükskõikseks ja rahulduda oma võrgu kaugrünnakute ajal lihtsa statisti rolliga, on tal soovitatav kasutada võrgu turvamonitori. IP Alert-1. Muide, meenutagem, et Tsutomu Shimomura suutis Kevin Mitnicki rünnaku salvestada, ilmselt suuresti tänu lihtsale IP-liikluse analüsaatorile tcpdump.
Riis. 3. Võrgu turvamonitori IP Alert-1.
4. Turvasüsteemide turg
4.1. Peamised turutrendid: statistika ja prognoosid
Nagu teate, omab maailm see, kelle käes on teave. Ent tänapäeval kõlab üha veenvamalt teine, mitte vähem asjakohane väide: info omaja kardab pidevalt seda kaotada või selle üle kontrolli kaotada.
Paljude analüütikute hinnangul muutus 2001. aastal oluliselt häkkimise olemus: kui varem tegutses häkker rünnaku sihtmärgiga peamiselt üks-ühele (ehk sisuliselt apoliitiline), siis nüüd saab rääkida häkkerite grupiaktsioonidest, mis on muutunud kaasaegse maailma kiiresti muutuvas keskkonnas maamärgiks. Rünnak pole enam pelgalt eneseväljendusviis ja mitte “demonstratsioonetendus”, vaid vahend sihtmärgi tabamiseks. Uuringud näitavad, et arvutivõrk (CN) on peaaegu kõikjal väga haavatav, mistõttu on seda tüüpi tegevuse intensiivistumine otsene oht, eriti ajal, mil erinevate poliitiliste rühmituste ja riikide vahelised suhted on pingelised. Eksperdid märgivad, et enamik suuri võrguressursse on endiselt haavatavad.
IT-sektori infoturbe üldiste suundumuste uuringute põhjal võime järeldada, et ettevõtted on infoturbe valdkonna infopoliitika muutmisel üsna inertsed, nende strateegiline nägemus on tuleviku kajastamisel pidevalt maha jäänud ning nende praktikad. isikuandmete käitlemisel ja infrastruktuuride turvalisuse taset võib nimetada rahuldavaks. Selle väite kasuks võib tuua muljetavaldavad arvud. Seega ei seosta enamik ettevõtteid oma tegevust adekvaatselt olemasolevate ohtudega: näiteks kustutab/vahetab pärast töötaja vallandamist paroole vaid üks ettevõte 10-st, kuigi 80% ettevõtetest on vastavad regulatsioonid. Uuringutulemused näitavad organisatsioonide nõrka pühendumust infoturbeaudititele (35%), minimaalseid pingutusi intsidentide juriidilise uurimise stimuleerimiseks (17%) ja ebapiisavat arusaama ohuallikatest (79% usub endiselt, et oht tuleb väljastpoolt). , kuigi statistika tõestab vastupidist). Uuringud on näidanud, et 60% tippjuhtidest peavad ettevõtte infoturvet tehnoloogiaprobleemiks ja ainult (40%) strateegiliseks äriprobleemiks.
Vaatamata ülaltoodud faktidele on aga avalikkuse tähelepanu praegu selgelt suurenenud infoturbe probleemidele, suhetele, mida tavaliselt nimetatakse elektrooniliseks turvalisuseks. Seda kinnitab järgmine. Analüütilise ettevõtte IDC ekspertide hinnangul kasvab nõudlus Interneti turvasüsteemide järele lähiaastatel kiiresti, mis muudab selle turusektori üheks kasumlikumaks. IDC arvutuste kohaselt on interneti turvasüsteemide turu keskmine aastane kasv järgmise viie aasta jooksul 23% ning aastaks 2005 ulatub turg 14 miljardi dollarini.IDC ekspertide hinnangul peitub peamine potentsiaal tarkvaratoodete sektoris mõeldud turvaliseks autentimiseks, autoriseerimiseks ja administreerimiseks – nn tootesektoris grupis 3A (Administration, Authorization, Authentication). IDC andmetel koosneb 3A infoturbe tarkvara haldus-, autoriseerimis- ja autentimisfunktsioonidest, mida kasutatakse turvalisuse haldamiseks üksikutes arvutisüsteemides või ettevõtte raamistikus, ning hõlmab protsesse kasutajate määratlemiseks, loomiseks, muutmiseks, kustutamiseks ja auditeerimiseks. Sama allika hinnangul kasvab sektor aastas 28% ja moodustab 2005. aastaks 67% turust.
Teatavasti on üks e-kaubanduse arengut takistav tegur turvalisuse probleem. Briti tööstuse konföderatsiooni (CBI) uuringu kohaselt usaldavad ettevõtted B2B tehingute turvalisust rohkem. Rohkem kui pooled CBI küsitletud ettevõtetest ütlesid, et usaldavad B2B kaubandust, samas kui ainult 32% ütles sama B2C tehingute kohta. Kuigi pangakaardipettused moodustavad umbes 4% tõsistest intsidentidest, märgivad CBI analüütikud, et hirm pettuste ees pidurdab jätkuvalt e-äri, eriti B2C sektori arengut.
Muude oluliste turusuundumuste hulgas tuleb märkida, et ettevõtted ei ole veel valmis end kaitsma ja turvalist teenust pakkuma, kuna neil puudub kvalifitseeritud personal (70,5%) ning nad ei suuda strateegiliselt arvutada, kui tulus on uute turvatavade juurutamine. (45,9%). Sellised kaugeltki mitte julgustavad tulemused selgusid Jaapani uuringus, mis pole sugugi tehnoloogiliselt mahajäänud riik. Eksperdid ütlevad, et võrguturbe valdkonnas on terav puudus töötajatest, kes suudavad asjakohaseid probleeme tõhusalt lahendada.
Üks viimaseid uuringuid eelmisel aastal dokumenteeris ameeriklaste kasvavat muret privaatsus- ja võrguturbeprobleemide pärast. Ja kuigi põhirõhk pandi ettevõtete ja valitsusasutuste võrkude turvalisuse hindamisele, on vastuste üldises kontekstis ärevust võimalik jälgida kõige suhtes, mis inimesi selles ebakindlas maailmas ümbritseb: 71% vastanutest ütles, et nad mures CS-i turvaprobleemi pärast ja 78% on mures nende varguse või muul viisil volitamata kasutamise võimaluse pärast. isiklik informatsioon CS-is.
Traadita side toimingute turvalisus valmistab jätkuvalt muret nii ettevõtetele kui ka kasutajatele. Mõlemad kardavad, et häkkerid suudavad teavet lennult pealt kuulata. Lisaks on potentsiaalseks probleemiks kasutajad, kes kaotavad konfidentsiaalset teavet sisaldavaid mobiilseadmeid.
4.2. Väärtpaberituru struktuur
Seda, mida 60ndatel nimetati arvutiturbeks ja 70ndatel andmeturbeks, nimetatakse nüüd täpsemini infoturbeks. Infoturve hõlmab meetmeid andmete loomise, sisestamise, töötlemise ja väljastamise protsesside kaitsmiseks. Peamine eesmärk on kaitsta ja tagada teabe täpsust ja terviklikkust, minimeerides teabe muutmisel või hävitamisel tekkida võivat hävingut. Infoturve nõuab teabe loomisel, muutmisel, juurdepääsul ja levitamisel kõigi sündmuste arvessevõtmist.
Infoturve tagab järgmiste eesmärkide saavutamise:
· kriitilise teabe konfidentsiaalsus;
· teabe ja sellega seotud protsesside terviklikkus (loomine, sisestamine, töötlemine ja väljund);
Vajadusel teabe kättesaadavus;
· kõigi infoga seotud protsesside arvestus.
Üldjoontes võib infosüsteemide turvaturu jagada kaheks ideoloogiliselt mitteseotavaks valdkonnaks.
Esimene suund on suunatud võrkude infokaitsele ehk infovõrkudes ringleva teabe kaitsele. Praegu on see kõige nõutum ja seetõttu hästi arenenud. See hõlmab mitmesuguseid viirusetõrjeid, tulemüüre, krüptograafilisi tööriistu, turvaprotokolle, digitaalallkirjad ja nii edasi. Tänapäeval kõige turvalisem meetod on avaliku võtmega krüpteerimine.
Teine suund, mis areneb kiiresti sisse Hiljuti, on seotud võrguobjektide otsese kaitsega. Seda suunda esindavad peamiselt mehaanilised seadmed, mis takistavad juurdepääsu riistvarale, see tähendab serveritele, personaalarvutitele jne. Nende seadmete põhiülesanne on takistada sissetungijal arvutit avamast erinevate kinnituste, lukkude, kaitsekatete jms abil. Arsenalis on ka tarkvara, mis võimaldab varastatud arvutid üles leida pärast seda, kui need on vähemalt korra telefonivõrku või internetti ühendatud. Need programmid koosnevad kahest osast: klient ja infotöötluskeskus. Pärast kliendi arvutisse installimist võtab see perioodiliselt (iga 15 minuti järel) keskusega ühendust ja edastab saadaolevat teavet arvuti hetkeseisu kohta (IP-aadress, telefoninumber, millega arvuti on hetkel ühendatud jne). Klient on installitud nii, et see oleks kõvaketta vormindamise eest kaitstud ja ei oleks tavapäraste operatsioonisüsteemi tööriistade (protsessivaaturite) abil nähtav. Teine võimalus teise suuna realiseerimiseks on see, et arvutid, kasutades täiendavat juhtmestikku ja spetsiaalseid andureid, mis on kinnitatud arvuti tagapaneelile, ühendatakse andmevõrgust erinevaks võrguks ja ühendatakse salvestusvõimelise riistvaraseadmega. volitamata juurdepääs ja lülitage äratus sisse.
Suure tõenäosusega oleme lähitulevikus tunnistajaks nende kahe valdkonna integreerimisele, mis on loomulik samm infoturbe taseme tõstmise suunas. Ja sellise integratsiooni tulemusena võib tekkida omamoodi universaalne turvasüsteem ning turvahaldur saab ühtse töökoha, kust saab kontrollida andmetöötluse järjekorda ja objektide terviklikkust. Sellise süsteemi paigaldamine ei nõua täiendavat kaabeldust ja selle toimimine ei mõjuta mingil viisil andmeedastusvõrgu jõudlust.
4.3. Turvasüsteemide turu liidrid
Symantec Corporation
Symantec Corporation, üks maailma juhtivaid Interneti-turvasüsteemide tootjaid, on turul juhtiv turvasüsteemide pakkuja. Symanteci Nortoni kaubamärk sisaldab infoturbetoodete sarja, mis on maailma juhtiv jaemüüja ja tööstuse auhinnatud ettevõte. Symanteci peakorter asub USA-s Cupertinos. California. Korporatsioonil on esindused 37 riigis.
Gartner Dataquesti aruanne nimetab ettevõtet infoturbetarkvara ülemaailmseks liidriks. See hinnang põhineb 2000. aastal uute litsentside müügist saadud tulul. Gartner Dataquesti aruanne näitab, et Symanteci kasv ületab turbeturgu – Symanteci tulud on aasta-aastalt kasvanud 40%. "2000. aasta detsembris toimunud ühinemise tulemusena Axentiga tõusis Symantec Corporation edetabelis 4. kohalt 1. kohale, hõivates 14,7% turbeturust," märgitakse aruandes. Gartner Dataquesti klassifitseeritud Symanteci turbetarkvara sisaldab: viirusetõrjetarkvara, krüpteerimistarkvara, sissetungimise tuvastamise ja muid tööriistu infoturbe- tulemüürid, veebiressursside filtreerimisprogrammid, rakendused välisvõrkudele juurdepääsu kontrollimiseks. Symantec Corporation pakub tööriistu viirusetõrje, tulemüürid, virtuaalsed privaatvõrgud, tööriistad turvanõrkuste ja volitamata sissetungimise katsete tuvastamiseks, Interneti- ja e-posti inforessursside filtreerimisprogrammid, kaughaldustehnoloogiad, aga ka infoturbeteenused.
Network Associates, Inc.
See ettevõte, nagu Symantec, domineerib kindlalt turvasüsteemide turul, kontrollides umbes 60% ülemaailmsest viirusetõrjeturust. Network Associates, Inc. andmetel. (NAI) on sellel üle 60 miljoni kasutaja üle maailma. NAI pakub üht kõige põhjalikumat ja terviklikumat programmide perekonda, mis kaitseb, haldab ja jälgib ettevõtte võrke. Network Associatesi pakutavate lahenduste funktsionaalsust ja laiust täiendavad Pretty Good Privacy (PGP) ja Magic Solutions omandatud võimalused ning võimsad tööriistad viirusevastased ained Dr.Solomon’s, mille esimese versiooni andis välja 1997. aasta alguses Dr.Solomon’s Software. McAfee (Network Associates, Inc. divisjoni) andmetel on McAfee GroupShield Exchange'i tarkvara saanud kolmandat aastat järjest Secure Computing Magazine'i parima ostu auhinna, millega võideti võrdlev test MS Exchange'i viirusetõrjed. IN võrdlev ülevaade Microsoft Exchange 2001 viirusetõrjetarkvara McAfee GroupShield sai kõrgeimad hinnangud, edestades teiste viirusetõrjetootjate tooteid, nagu Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates jne.
Korporatsioon Computer Associates International, Inc.
IDC aruanne tuvastas Computer Associates International, Inc. (CA) kui juhtiv autentimis-, autoriseerimis- ja haldustarkvara (3A) pakkuja, omades 15,5% ülemaailmset turuosa. 2001. aastal tuvastati IDC aruandes International Internet Security Software Market Forecast and Analysis, 2001–2005, et CA on teist aastat järjest maailma juhtiv Interneti-turvatarkvara pakkuja. CA pakub 3A lahendusi eTrusti tooteperekonna kaudu (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control ja eTrust Intrusion Detection). "CA on infoturbelahenduste arendamisel selge ülemaailmne liider nii tehnoloogilise tõhususe kui ka turu üldise suuruse osas," ütles CA eTrust Solutionsi asepresident Barry Keyes. - Meie uue litsentsimise ärimudeli eelised, kõikehõlmavad tehniline teenindus läbipaistev integreeritud e-äri halduslahendus on võimaldanud meil pakkuda ettevõtete infoturbejuhtidele ja teenusepakkujatele enneolematut väärtuspakkumist. eTrust tootepere võimaldab juhtmeeskonnal kaitsta, administreerida juurdepääsu ning tagada keeruka automatiseeritud süsteemi kontrolli ja turvalisuse. eTrust lahendus ühildub kehtivate andmekaitsestandarditega, tagab koostöövõime olemasolevate sisemiste turvamehhanismidega ja võrgupartnerite samade mehhanismidega.
Kokkuvõtteks tahan veel kord märkida, et infoturbe probleem muutub iga aastaga üha aktuaalsemaks. Ja massinõudlusele vastav turg kindlasti pakub ja pakub juba praegu usaldusväärseid ja igati väärilisi turvalahendusi. Ja praegu on peamine peatada igal juhul algav infokaos, mille provotseerivad need, kellele meeldib üle õla vaadata või teiste elektroonilistes portfellides tuhnida. Ja selleks peab igaüks valima usaldusväärse infoturbe vahendi, mis tagab piisava infoturbe.
Järeldus
Algselt loodi võrk kaitsmata avatud süsteemina, mis oli mõeldud järjest suurema hulga kasutajate infosuhtluseks.
Samas pidi uute kasutajate ühendamine olema võimalikult lihtne ja ligipääs infole võimalikult mugav. Kõik see läheb selgelt vastuollu turvalise süsteemi loomise põhimõtetega, mille turvalisust tuleb kirjeldada selle loomise ja toimimise kõikides etappides ning anda kasutajatele selged volitused.
Võrgu loojad selle poole ei püüdnud ja turvanõuded oleksid projekti nii keeruliseks teinud, et oleks selle loomise vaevalt võimalikuks teinud.
Järeldus: Internet loodi ebaturvalise süsteemina, mis ei ole mõeldud konfidentsiaalse teabe salvestamiseks ja töötlemiseks. Pealegi ei saaks turvalisest Internetist saada selline süsteem, nagu ta praegu on, ega muutuks infopildiks maailmakultuurist, selle minevikust ja olevikust. See on võrgu sõltumatu väärtus ja võib-olla on selle ebakindlus hind, mida nii kõrge eesmärgi eest maksta.
Mõte: paljud kasutajad on huvitatud sellest, et Internet muutuks kategoriseeritud teabe ja kasutajaõigustega süsteemiks, mille suhtes kehtivad kehtestatud turvapoliitikad.
Inimmõistuse säravaim looming hakkab aga mõne aja pärast elama iseseisvat elu, arenedes ja väljudes loojate algsetest kavatsustest. Seetõttu on võrgu nõrk turvalisus aja jooksul muutunud selle kasutajatele üha suuremaks murekohaks.
Meie arvates ei tohiks Internet sisaldada teavet, mille avaldamine tooks kaasa tõsiseid tagajärgi. Vastupidi, Internetti on vaja postitada teavet, mille levitamine on selle omanikule soovitav. Alati on vaja arvestada tõsiasjaga, et seda teavet võib igal hetkel kinni pidada, moonutada või see võib muutuda kättesaamatuks. Järelikult ei tohiks rääkida Interneti turvalisusest, vaid Võrgu infoturbe mõistliku piisavuse tagamisest.
Loomulikult ei välista see vajadust tutvustada kasutajat rikkaliku ja pidevalt kasvava tarkvara- ja riistvaraarsenaliga võrgu infoturbe tagamiseks. Samas märgime, et nad ei suuda Internetti turvaliseks keskkonnaks muuta, mis tähendaks selle olemuse muutmist.
Kas Internet on turvaline? Interneti-turvatööriistade väljatöötamine võib olla vastuolus selle eesmärgiga ja moonutada Interneti ideed. Õigem on tõstatada küsimus spetsiaalse turvalise globaalse infosfääri loomise kohta, mis on loodud globaalse tootmise, transpordi ja geopoliitika juhtimiseks. Ilmselt toob edasiminek kaasa vajaduse luua selline ühtne süsteem. Sellisel suhtluskeskkonnal on turvaarhitektuur ja see tagab teabe terviklikkuse ja konfidentsiaalsuse. On ilmne, et selle süsteemi loojad peavad tagama globaalsete subjektide poliitiliste ja majanduslike huvide austamise, sest selle süsteemi mitmepooluseline omamine tähendab kontrolli maailma üle.
Selge on see, et selliseks keskkonnaks ei saa olla Internet praegusel kujul. Peamine on meie arvates hoiduda soovist tuua tänapäeva internet sellisele maailmavalitsemise keskkonnale lähemale. Internet on omal moel hea sellisel kujul, nagu ta on.
Millised on infosüsteemide kaitsmise väljavaated infotöötluskeskkonna integratsiooni ajastul? Meie arvates peitub väljapääs sellest olukorrast subjektidele – kasutajatele – eluliselt huvi pakkuva teabe ja selle töötlemiseks spetsiaalsete süsteemide loomises selges vahes. Sellised süsteemid peavad suutma integreeruda globaalsesse võrku, tagades samal ajal nende ühesuunalise teabeisolatsiooni.
ComputerPress 8"1999
Lukatsky A.V. Rünnakute tuvastamise süsteemid//Pangandustehnoloogiad. 1999. nr 2.
ComputerPress 10"2001
ComputerPress 3"2002
Infotehnoloogia areng ja Interneti populaarsuse kasv on viinud selleni, et arvutitest on saanud inimeste elu oluline osa. Kasutame neid töötamiseks, vajaliku info otsimiseks täiesti erinevatest piirkondadest, erinevates kohtades asuvate inimestega suhtlemiseks ja paljuks muuks, nii et sageli viib suutmatus õigel ajal arvutit kasutada mõnikord kriitiliste tagajärgedeni.
Tänapäeval muutuvad arvutid üha enam rünnakute ohvriteks. Rünnatakse mitte ainult ettevõtete seadmeid ja suurettevõtete kohalikke võrke, vaid ka tavakasutajate arvuteid. Rünnakuid võivad läbi viia nii isikuandmete, eriti rahaliste, varastamise eesmärgil kui ka lihtsast uudishimust ja meelelahutusest, näiteks algajate häkkerite poolt. Rünnakute levinumad põhjused on ka isiklik vaen ressursside omanike ja konkurentsi vastu. Viimasel juhul viiakse need läbi nõudmisel ja tasu eest. Rünnakumeetodeid ja -tüüpe on palju ning iga aastaga muutuvad need keerukamaks ja kavalamaks.
Arvutirünnak- see mõjutab süsteemi või pääseb sellele tarkvara või püsivara abil volitamata juurde
Ilmekas näide rünnakutest, mille eesmärk ei ole andmete varastamine, on DoS-rünnakud. Need toovad kaasa teenuse katkemise seaduslikele kasutajatele, muudavad teatud teenused või kogu süsteemi kättesaamatuks, mis on väga ebameeldiv. Kuigi andmete konfidentsiaalsus säilib, muutub nende kasutamine täiesti võimatuks, sedalaadi rünnakud segavad arvutiressursside täielikku tööd.
DoS-ründe olemus seisneb selles, et ründaja püüab teatud serveri ajutiselt kättesaamatuks muuta, võrku, protsessorit üle koormata või ketast täita. Rünnaku eesmärk on arvuti keelata ja kõik ohvriarvuti ressursid arestida, et teised kasutajad neile ligi ei pääseks. Ressursside hulka kuuluvad näiteks mälu, protsessori aeg, kettaruum, võrguressursid jne. Termini tekst
DoS-rünnak (teenuse keelamine) on rünnak, mis põhjustab serveri või personaalarvuti töö halvatuse, kuna rünnatavale ressursile saabub suurel kiirusel suur hulk päringuid
DoS-rünnakute rakendamise põhimeetodid
DoS-rünnakute rakendamiseks on kaks peamist viisi.
Esiteks loogiline, on kasutada rünnatud arvutisse installitud tarkvara haavatavusi. Haavatavus võimaldab teil põhjustada teatud kriitilise vea, mis põhjustab süsteemi häireid. Need rünnakud on suunatud operatsioonisüsteemide, tarkvara, protsessorite ja programmeeritavate kiipide nõrkadele kohtadele.
Teiseks meetod hõlmab suure hulga teabepakettide saatmist rünnatavale arvutile, mis põhjustab võrgu ülekoormust. Suure hulga pakettide saatmisega toime pandud rünnakud võib jagada kahte põhitüüpi.
Rünnakud, mille eesmärk on blokeerida sidekanalid ja ruuterid. Rünnaku olemus on saata rünnatavale arvutile tohutu tulvavoog, see tähendab taotlusi. vale formaat või sisuliselt mõttetu. Üleujutus ummistab täielikult kogu andmekanali laiuse või sisendruuteri. Kuna andmete maht ületab nende töötlemiseks vajalikke ressursse, muutub teistelt kasutajatelt õigete andmepakettide vastuvõtmine võimatuks. Selle tulemusena keelab süsteem neile teenuse osutamise.
Rünnakud, mille eesmärk on operatsioonisüsteemi või rakendusressursside ülekoormamine. Rünnakud seda tüüpi on suunatud mitte sidekanalile, vaid süsteemile endale. Igal süsteemil on palju piiranguid erinevatele parameetritele (protsessori aeg, kettaruum, mälu jne) ning rünnaku mõte on sundida süsteemi neid piiranguid rikkuma. Selleks saadetakse ohvri arvutisse tohutul hulgal taotlusi. Serveri liigse arvutusvõimsuse tõttu keeldub süsteem teenindamast seaduslike kasutajate taotlusi.
DoS-rünnakute peamised tüübid
Teenusest keeldumise rünnakuid on mitut tüüpi, mis põhinevad TCP/IP-protokolli pinu funktsioonidel. Loetleme kõige kuulsamad.
Ping-of-Death rünnak kasutab ära TCP/IP-protokolli haavatavust, näiteks andmepakettide killustatust. Üle võrgu edastamisel jagatakse andmepaketid fragmentideks, mis sihtarvutisse jõudes koondatakse ühtseks tervikuks. Rünnak toimub järgmiselt: ohvri arvutisse saadetakse tugevalt killustatud ICMP pakett, mille suurus ületab protokollis lubatu (üle 64KB). Kui rünnatav seade saab fragmente ja proovib paketti taastada, hangub operatsioonisüsteem täielikult, samuti lakkavad töötamast hiir ja klaviatuur. Seda tüüpi rünnakute alla võivad sattuda Windowsi perekonna operatsioonisüsteemid, Mac ja mõned Unixi versioonid.
Rünnak SYN-i üleujutus ("surmav käepigistus") kasutab sellist TCP/IP-protokolli funktsiooni kui "kolmekordse käepigistuse" mehhanismi. Andmete edastamiseks saadab klient paketi SYN (sünkroonimise) lipuga. Vastuseks peab server vastama lippude SYN+ACK (kinnitab) kombinatsiooniga. Seejärel peab klient vastama ACK-lipuga, misjärel loetakse ühendus loodud.
Selle rünnaku põhiolemus on luua suur hulk mittetäielikult loodud TCP-ühendusi. Saates ohvrile tohutul hulgal TCP SYN-pakette, sunnib ründaja seda avama ja vastavale arvule TCP-ühendustele vastama ning seejärel ei vii ühenduse loomise protsessi lõpule. See kas ei saada ACK-lipuga vastusepaketti või võltsib paketi päise nii, et vastuse ACK saadetakse olematule aadressile. Seega ei ole "kolmekordse käepigistuse" mehhanismi nõuded täidetud. Ühendused ootavad jätkuvalt oma korda, jäädes pooleldi avatud olekusse. Rünnatud server eraldab iga vastuvõetud SYN-paketi jaoks ressursid, mis peagi ammenduvad. Teatud aja möödudes visatakse pooleldi avatud ühendused kõrvale. Ründaja püüab hoida järjekorda täis, et vältida uusi ühendusi seaduslikelt klientidelt. Selle tulemusena toimub side loomine pikkade viivitustega või ei toimu üldse.
Maapealne rünnak kasutab ka TCP/IP-protokolli funktsiooni, et ühendusepäringule tuleb vastata. Selle ründe olemus seisneb selles, et ohvri arvuti üritab ründajate tegevuse tulemusena luua ühendust iseendaga, mis viib protsessori ülekoormuseni ja põhjustab süsteemi külmumise või krahhi.
Partii killustatus. Seda tüüpi rünnetes kasutatakse ülalmainitud TCP/IP andmeedastusmehhanismi, mille järgi jagatakse andmepaketid fragmentideks. Fragmenteerimist kasutatakse siis, kui on vaja edastada IP-andmegrammi ehk IP-protokolli abil edastatavat infoplokki üle võrgu, milles maksimaalne lubatud andmeedastusühik on datagrammi suurusest väiksem. Seda tüüpi rünnak põhjustab teenuse keelamise, kasutades ära mõnede TCP/IP-virnade turvaauke, mis on seotud IP-fragmentide kokkupanemisega.
Näiteks võiks olla rünnak TearDrop, mille tulemusena kildude edastamise käigus need nihkuvad, mis põhjustab pakendi kokkupanemisel nende kattumist. Rünnatud arvuti katse taastada fragmentide õige jada põhjustab süsteemi krahhi.
DNS-i üleujutuse rünnak koosneb suure hulga DNS-päringute edastamisest. See koormab DNS-serverit üle ja teistel kasutajatel ei ole sellele juurdepääs võimalik.
Kui teenuse keelamise rünnak viiakse läbi üheaegselt suurest arvust arvutitest korraga, siis antud juhul räägime DDoS rünnakust.
DDoS-rünnak (hajutatud teenuse keelamine) on DoS-rünnak, mis on korraldatud väga suure arvu arvutite abil, mille tõttu võivad rünnata isegi väga suure Interneti-ribalaiusega serverid.
DDoS-i rünnakute korraldamiseks kasutavad ründajad robotvõrku - ad hoc võrk spetsiaalset tüüpi viirustega nakatunud arvutid. Ründaja saab iga sellist arvutit kaugjuhtida, ilma omaniku teadmata. Kasutades osavalt legitiimseks maskeeritud viirust või programmi, installitakse ohvri arvutisse pahatahtliku programmi kood, mida viirusetõrje ei tuvasta ja töötab taustal. Õigel hetkel aktiveerub selline programm botneti omaniku käsul ja hakkab rünnatavale serverile päringuid saatma, mille tulemusena täitub rünnatava teenuse ja Interneti-pakkuja vaheline sidekanal ning server lakkab töötamast.
Hajutatud rünnakut saab läbi viia mitte ainult botneti, vaid ka peegeldusmehhanismi abil. Selliseid rünnakuid nimetatakse DrDOS-i rünnakuteks (indirect impact attacks, Distributed Reflection DoS). Neid teostatakse mitte otse, vaid vahendajate kaudu. Kõige sagedamini toimuvad DrDoS-i rünnakud järgmiselt: TCP-pakett ei saadeta mitte rünnatavale arvutile, vaid suvalisse Interneti-serverisse, kuid tagastusaadressiks märgitakse ohvri arvuti aadress. Kuna iga server vastab alati SYN-lipuga TCP-paketile SYN+ACK-lippudega TCP-paketiga, vastab juhuslikult valitud arvuti, sellest teadmata, valepäringutele ja pommitab ohvriarvutit automaatselt pakettide voogudega.
Kuidas end rünnakute eest kaitsta « Teenusest keeldumine » ?
On mitmeid meetodeid, mis aitavad seda tüüpi rünnakuid ära hoida. Nende hulgas.
Iga ründemeetodit iseloomustab teatud omaduste kogum. Rünnaku tüüpilised märgid on järgmised: :
1) Teatud sündmuste ja tegevuste kordamine. Näiteks portidele ligipääs (skaneerimine), parooli arvamine, ühenduse loomise taotluste kordamine, mis viib järjekorra või puhvri ületäitumiseni;
2) Ootamatud parameetrid võrgupakettides
· ootamatud aadressiatribuudid (näiteks mittemarsruutitavad või reserveeritud IP-aadressid, lähte- või sihtpordi välja väärtus on null, mittestandardsete serverite päring);
· võrgupaketi lippude ootamatud parameetrid (näiteks kui ACK lipp on seatud, on kinnituse number null; paketis on kaks teineteist välistavat lippu; ainult lipu FIN olemasolu; kombinatsiooni kasutamine SYN+RST ja RST+FIN lippudest);
· ootamatud kellaaja või kuupäeva atribuudid;
3) Sobimatud võrguliikluse parameetrid
· sissetuleva liikluse parameetrid (näiteks väljastpoolt kohtvõrku sisenevad paketid, millel on sisevõrgu aadressivahemikule vastav lähteaadress);
Väljuva liikluse parameetrid (nt pärit kohalik võrk paketid, mille lähteaadress vastab väliste võrguaadresside vahemikule);
· käsud, mis ei vasta hetkeolukorrale (valed päringud või vastused);
· võrguliikluse anomaaliad (näiteks muutused koormusteguris, paketi suuruses, killustatud pakettide keskmises arvus);
4) Sobimatud süsteemi jõudluse atribuudid
· süsteemi ebanormaalsed omadused (suur protsessori koormus, intensiivne juurdepääs RAM-ile või kettamälule, failid);
· lahknevus kasutaja jõudlusnäitajate ja nende profiilide vahel (kõrvalekaldumine tipp- ja minimaalsetest laadimisaegadest, tüüpilise tööseansi kestusest, tavapärasest süsteemi sisenemise ja süsteemist väljumise ajast).
Peamised võimalused arvutirünnakute rakendamiseks
Rünnakuid saab läbi viia otse või võrgu kaudu süsteemi sisse logides. Seetõttu on rünnakute rakendamiseks kaks peamist võimalust:
1) süsteem – milles eeldatakse, et ründajal on rünnatavas süsteemis juba teatud (tavaliselt madalate) privileegidega konto või on võimalus süsteemi sisse logida anonüümne kasutaja. Sel juhul toimub rünnak läbi sissetungija, kes logib selle alusel süsteemi sisse konto ja täiendavate haldusvolituste saamine. Rünnaku tulemusena saavutatakse volitamata juurdepääs objekti (hosti) teabele. Eelkõige saab seda tüüpi rünnakuid läbi viia programmi GetAdmin abil.
2) võrku– mis tähendab, et sissetungija üritab süsteemi kaudu võrgu kaudu eemalt tungida. Selline tungimine on võimalik, kui sissetungija arvuti asub samas võrgusegmendis, erinevates segmentides või kaugjuurdepääsuga rünnatavale objektile (näiteks sissehelistamis- või spetsiaalse modemiühenduse abil). Selliste rünnakute tulemusena võib ründajal olla võimalik arvutit kaugjuhtida võrgu kaudu, juurdepääsu teabeallikad rünnatud objekt, selle töörežiimi muutmine, sealhulgas teenuse keelamine. Programmidena, mis võimaldavad rakendada võrgurünnakuid, saab kasutada NetBusi või BackOrifice programme.
Rünnakute rakendamiseks saab kasutada teatud käske (käskude jadasid) käsurea liideses, skripte, programme või eraldiseisvaid agente, mis on installitud ühte või jagatud mitme võrgu sõlme (arvuti) vahel.
Arvutirünnak
"...Arvutirünnak: suunatud, automatiseeritud infosüsteemi ressursile või neile tarkvara või riistvara abil volitamata juurdepääsu saamine..."
Allikas:
"INFO KAITSE. TEABE OBJEKT. TEABE MÕJUTAVAD TEGURID. ÜLDSÄTTED. GOST R 51275-2006"
(kinnitatud Rostekhregulirovaniya korraldusega 27. detsembril 2006 N 374-st)
Ametlik terminoloogia. Akademik.ru. 2012. aasta.
Vaadake, mis on "arvutirünnak" teistes sõnaraamatutes:
arvutirünnak- Teabe, infosüsteemi ressursi sihipärane volitamata mõjutamine või neile volitamata juurdepääsu saamine tarkvara või riistvara abil. [R 50.1.056 2005] Kaitsmise teemad... ... Tehniline tõlkija juhend
arvutirünnak- 3.11 arvutirünnak: sihipärane volitamata mõjutamine teabele, automatiseeritud infosüsteemi ressurssidele või neile volitamata juurdepääsu saamine tarkvara või riistvara abil... ...
võrgurünnak- 3.12 võrgurünnak: arvutirünnak, mis kasutab võrguprotokolle. Allikas: GOST R 51275 2006: Teabekaitse. Infoobjekt. Infot mõjutavad tegurid. Üldsätted... Normatiivse ja tehnilise dokumentatsiooni terminite sõnastik-teatmik
Võrgurünnak: arvutirünnak, kasutades võrguprotokolle... Allikas: INFOKAITSE. INFOOBJEKT. TEABE MÕJUTAVAD TEGURID. ÜLDSÄTTED. GOST R 51275 2006 (kinnitatud korraldusega ... ... Ametlik terminoloogia
Chapaev (arvutimäng)- Arvutimäng Chapaev 3D “Chapaev” või “Chapaevtsy” on nõukogude lauamäng, mis on saanud nime kodusõja kangelase Vassili Ivanovitš Tšapajevi järgi. See mäng on seotud piljardiga ja on eriti lähedane sellistele mängudele nagu carrom, crokinole, ... ... Wikipedia
StarCraft (arvutimäng)- StarCraft originaal-CD kaas Arendaja Blizzard Entertainment Publishers Blizzard Entertainment, Sierra Entertainment, Soft Club Localizer ... Wikipedia
Sõda ja rahu (arvutimäng)
Second Crown (arvutimäng)- Knights and Merchants: The Shattered Kingdom Arendaja Joymania Entertainment Publisher TopWare Interactive ... Wikipedia
Relvastatud pangaröövi korral on keskmine kahju 19 tuhat dollarit ja arvutikuritegevusega juba 560 tuhat. Ameerika ekspertide hinnangul on arvutikuritegudest tulenev kahju viimase kümne aasta jooksul kasvanud igal aastal keskmiselt 35%. Sel juhul avastatakse keskmiselt 1% arvutikuritegudest ning tõenäosus, et kurjategija avastatud arvutikelmuse eest vangi satub, ei ületa 10%.
Loomulikult aitab traditsiooniliste turvakontrollide (nt viirusetõrjetarkvara, tulemüürid, krüptograafia ja nii edasi) sihipärane kasutamine vältida volitamata juurdepääsu teabele. Sel juhul tuleb aga mängu inimfaktor. Infoturbesüsteemi nõrgimaks lüliks osutub inimene ehk lõppkasutaja ning häkkerid kasutavad seda teades oskuslikult sotsiaalse inseneri meetodeid. Mida iganes mitmetasandilised süsteemid identifitseerimine, neil pole mingit mõju, kui kasutajad kasutavad näiteks paroole, mida on lihtne murda. Professionaalse lähenemisega turvaküsimustele lahendavad ettevõtted sellised probleemid tsentraalselt unikaalsete ja keeruliste paroolide või kõvade paigaldamine ettevõtete eeskirjad töötajatele ja piisavad karistused nende rikkumiste eest. Olukorra teeb aga keeruliseks asjaolu, et viimasel ajal mängivad arvutikurjategijate rolli üha enam mitte “välised” häkkerid, vaid lõppkasutajad ise. Ühe Ameerika infoturbespetsialisti sõnul on "tüüpiline arvutikurjategija tänapäeval töötaja, kellel on juurdepääs süsteemile, mille mittetehniline kasutaja ta on." Ameerika Ühendriikides moodustavad valgekraede poolt toime pandud arvutikuriteod 70–80% iga-aastastest kaasaegse tehnoloogiaga seotud kahjudest. Veelgi enam, ainult 3% pettustest ja 8% kuritarvitustest hõlmasid seadmete, programmide või andmete spetsiaalset hävitamist. Muudel juhtudel ründajad ainult manipuleerisid teabega – varastasid seda, muutsid seda või lõid uue, vale. Tänapäeval võimaldab Interneti üha laialdasem kasutamine häkkeritel vahetada teavet ülemaailmses mastaabis. Omamoodi "häkkerite rahvusvaheline" on juba ammu välja kujunenud - lõppude lõpuks kustutab Internet, nagu ükski teine tehniline vahend, piirid riikide ja isegi tervete mandrite vahel. Lisage sellele Interneti peaaegu täielik anarhia. Tänapäeval võib igaüks leida arvutihäkkimise juhised ja kõik vajalikud tarkvaratööriistad, otsides lihtsalt selliseid märksõnu nagu "häkker", "häkkimine", "häkkimine", "murdmine" või "murdmine". Teine tegur, mis oluliselt suurendab arvutisüsteemide haavatavust, on standardiseeritud, lihtsalt kasutatavate operatsioonisüsteemide ja arenduskeskkondade laialdane kasutamine. See võimaldab häkkeritel luua häkkimiseks universaalseid tööriistu ja potentsiaalne ründaja ei vaja enam, nagu varem, häid programmeerimisoskusi – piisab rünnatava saidi IP-aadressi teadmisest ja rünnaku läbiviimiseks piisab. Internetist leitud programmi käivitamiseks. Igavene vastasseis soomuse ja mürsu vahel jätkub. Infoturbe spetsialistid on juba aru saanud, et häkkeritehnoloogiatele on mõttetu alati järele jõuda, arvutiründajad on alati sammu võrra ees. Seetõttu põhinevad uued tehnikad üha enam infosüsteemides esinevate rikkumiste ennetaval tuvastamisel. Aja jooksul tekivad aga uued probleemid, mis on eelkõige seotud traadita side arenguga. Seetõttu peavad infoturbele spetsialiseerunud ettevõtted järjest rohkem tähelepanu pöörama uute juhtmevabade standardite abil edastatavate andmete kaitsmisele.
Klassifikatsioon
Võrgurünnakud on sama erinevad kui nende sihtmärgiks olevad süsteemid. Puhtalt tehnoloogiliselt kasutab enamik võrgurünnakuid mitmeid TCP/IP-protokollile omaseid piiranguid. Lõppude lõpuks loodi Internet omal ajal suhtlemiseks valitsusagentuurid ja ülikoolid toetama haridusprotsessi ja teaduslikud uuringud. Siis polnud võrgustiku loojatel aimugi, kui laialt see levib. Seetõttu puudusid Interneti-protokolli (IP) varajaste versioonide spetsifikatsioonid turvanõuded ja seetõttu on paljud IP-rakendused oma olemuselt haavatavad. Alles palju aastaid hiljem, kui e-kaubanduse kiire areng algas ja häkkeritega juhtus mitmeid tõsiseid intsidente, hakati Interneti-protokolli turvatööriistu lõpuks laialdaselt kasutusele võtma. Kuna aga IP-turvalisust algselt ei välja töötatud, hakati selle rakendusi täiendama erinevate võrguprotseduuride, teenuste ja toodetega, mille eesmärk on vähendada selle protokolliga kaasnevaid riske.
Postipommitamine
Meilipommitamine (nn postipommitamine) on üks vanimaid ja primitiivsemaid Interneti-rünnakute liike. Õigem oleks seda isegi arvutivandalismiks (või lihtsalt huligaansuseks, olenevalt tagajärgede raskusest) nimetada. Postipommitamise olemus on postkasti ummistamine rämpskirjavahetusega või isegi Interneti-teenuse pakkuja meiliserveri keelamine. Selleks kasutatakse spetsiaalseid programme - postpommitajaid. Nad lihtsalt pommitavad sihtmärgiks märgitud postkasti tohutu hulga tähtedega, näidates samal ajal saatja valeandmeid - kuni IP-aadressini. Sellist programmi kasutaval agressoril on vaja ainult näidata rünnaku sihtmärgi e-posti aadressi, sõnumite arvu, kirjutada kirja tekst (tavaliselt midagi solvavat), näidata saatja valeandmeid, kui programm seda ei tee ise ja vajutage nuppu "Start". . Enamikul Interneti-teenusepakkujatel on aga oma süsteemid klientide kaitsmiseks postipommide eest. Kui samast allikast pärit identsete kirjade arv hakkab ületama teatud mõistlikke piire, siis kogu sedalaadi sissetulev kirjavahetus lihtsalt hävitatakse. Seega pole täna enam tõsist hirmu postipommitamise ees.
Parooli arvamise rünnakud
Süsteemi ründav häkker alustab oma tegevust sageli sellega, et püüab hankida administraatori või mõne kasutaja parooli. Parooli väljaselgitamiseks on väga palju erinevaid meetodeid. Siin on peamised: IP võltsimine ja pakettide nuusutamine – me vaatame neid allpool. “Trooja hobuse” juurutamine süsteemi on häkkerite praktikas üks levinumaid võtteid, sellest räägime ka hiljem pikemalt. Toore jõu rünnak. On palju programme, mis sooritavad lihtsaid parooliotsinguid Interneti kaudu või otse rünnatavas arvutis. Mõned programmid otsivad paroole kindla sõnastiku abil, teised genereerivad lihtsalt juhuslikult erinevaid märgijadasid. Paroolivalikute loogiline otsing. Seda meetodit kasutav ründaja proovib lihtsalt võimalikke tähemärkide kombinatsioone, mida kasutaja saab paroolina kasutada. See lähenemine osutub tavaliselt üllatavalt tõhusaks. Arvutiturbeeksperdid ei lakka imestamast, kui sageli kasutavad kasutajad selliseid "salapäraseid" kombinatsioone nagu paroolid, nagu 1234, qwerty või enda nimi, mis on kirjutatud tagurpidi. Tõsised häkkerid saavad väärtuslikku parooli valides seda parooli kasutavat inimest põhjalikult uurida. Pereliikmete ja teiste sugulaste nimed, lemmikkoer/kass; milliseid meeskondi ja spordialasid "objekt" toetab; millised raamatud ja filmid talle meeldivad; millist ajalehte ta hommikul loeb – kõik need andmed ja nende kombinatsioonid lähevad tegevusse. Selliste rünnakute eest pääsete ainult kasutades paroolina juhuslikku tähtede ja numbrite kombinatsiooni, mis on eelistatavalt spetsiaalse programmi poolt genereeritud. Ja loomulikult on vaja parooli regulaarselt vahetada – selle jälgimise eest vastutab süsteemiadministraator. Sotsiaalne inseneritöö. See on häkker, kes kasutab kasutajaga "töötamiseks" psühholoogilisi võtteid. Tüüpiline (ja kõige lihtsam) näide on telefonikõne väidetavalt "süsteemiadministraatorilt" avaldusega "Meil on siin ilmnenud süsteemitõrge ja kasutajateave on kadunud. Kas saaksite oma kasutajanime ja parooli uuesti sisestada?" Nii annab ohver ise parooli häkkeri kätte. Lisaks regulaarsele valvsusele aitab selliste rünnakute eest kaitsta "ühekordsete paroolide" süsteem. Kuid selle keerukuse tõttu pole see veel laialdaselt levitatud.
Viirused, e-posti ussid ja Trooja hobused
Need nuhtlused ei puuduta peamiselt teenusepakkujaid ega ettevõtte sidet, vaid lõppkasutajate arvuteid. Lüüasaamise ulatus on lihtsalt muljetavaldav – üha sagedamini puhkevad ülemaailmsed arvutiepideemiad põhjustavad mitme miljardi dollari suurust kahju. "Pahatahtlike" programmide autorid muutuvad üha keerukamaks, kehastades kaasaegsete viiruste kõige arenenumat tarkvara ja psühholoogilisi tehnoloogiaid. Viirused ja Trooja hobused on erinevad "vaenulike" klassid programmi kood. Viirused sisestatakse teistesse programmidesse, et täita nende pahatahtlikku funktsiooni tööjaamas lõppkasutaja. See võib olla näiteks kõigi või ainult teatud failide hävitamine kõvakettal (kõige sagedamini), seadmete kahjustamine (praegu eksootiline) või muud toimingud. Viirused on sageli programmeeritud käivituma kindlal kuupäeval (tüüpiline näide on kuulus WinChih ehk Tšernobõli) ja ka enda koopiaid e-posti teel saatma kõigile kasutaja aadressiraamatus leiduvatele aadressidele. Trooja hobune, erinevalt viirusest, on iseseisev programm, mis ei ole enamasti keskendunud viirustele iseloomuliku teabe jämedale hävitamisele. Tavaliselt on Trooja hobuse tutvustamise eesmärk saada arvuti üle peidetud kaugjuhtimispult, et selles sisalduva teabega manipuleerida. "Trooja hobused" maskeerivad end edukalt erinevateks mängudeks või kasulikeks programmideks, millest väga paljusid levitatakse Internetis tasuta. Lisaks manustavad häkkerid mõnikord Trooja hobuseid täiesti "süütutesse" ja mainekatesse programmidesse. Arvutisse sattunud Trooja hobune tavaliselt oma kohalolekut ei reklaami, täites oma ülesandeid võimalikult salaja. Selline programm võib näiteks vaikselt saata oma häkkeriomanikule parooli ja sisselogimise sellest konkreetsest arvutist Internetti pääsemiseks; teha ja saata selles sisalduvale aadressile teatud failid; jälgida kõike, mida klaviatuurilt sisestatakse jne. Trooja hobuste keerukamad versioonid, mis on kohandatud konkreetsete arvutite ründamiseks konkreetsed kasutajad, võib omaniku korraldusel asendada teatud andmed eelnevalt ettevalmistatud andmetega või muuta failides salvestatud andmeid, eksitades sellega arvutiomanikku. Muide, see on üsna levinud tehnika tööstusspionaaži ja provokatsioonide arsenalist. Võitlus viiruste ja " Trooja hobused"viiakse läbi spetsiaalse tarkvara abil ja hästi ehitatud kaitse tagab topeltkontrolli: konkreetse arvuti tasemel ja kohaliku võrgu tasemel. Kaasaegsed vahendid võitlus pahatahtliku koodiga on üsna tõhus ja praktika näitab, et regulaarselt puhkevad ülemaailmsed arvutiviiruste epideemiad tekivad suuresti "inimfaktori" tõttu - enamik kasutajaid ja paljud süsteemiadministraatorid (!) on lihtsalt liiga laisad, et viirusetõrjeprogrammi regulaarselt värskendada. andmebaase ja kontrollige sissetulevaid e-kirju enne selle lugemist viiruste suhtes (kuigi seda teevad nüüd üha enam Interneti-teenuse pakkujad ise).
Võrgu intelligentsus
Rangelt võttes ei saa võrguluuret nimetada rünnakuks arvutisüsteemi vastu - lõppude lõpuks ei tee häkker mingeid "pahatahtlikke" toiminguid. Võrguluure eelneb aga alati rünnakule endale, kuna selle ettevalmistamisel peavad ründajad koguma kogu olemasoleva teabe süsteemi kohta. Samal ajal kogutakse teavet suure hulga avalikult kättesaadavate andmete ja rakenduste abil – kuna häkker püüab hankida võimalikult palju kasulikku teavet. See teostab pordi skannimise, DNS-päringud, DNS-i abil leitud aadresside kajatestimine jne. See võimaldab eelkõige teada saada, kellele see või teine domeen kuulub ja millised aadressid sellele domeenile on määratud. DNS-i avaldatud aadresside ping-pühkimine võimaldab teil näha, millised hostid antud võrgus tegelikult töötavad, ja pordi kontrollimise tööriistad võimaldavad teil kindlaks teha täielik nimekiri teenused, mida need hostid toetavad. Võrguluure läbiviimisel analüüsitakse ka hostidel töötavate rakenduste omadusi - ühesõnaga saadakse teavet, mida saab hiljem kasutada häkkimisel või DoS rünnaku läbiviimisel. Võrguluurest on võimatu täielikult vabaneda, peamiselt seetõttu, et formaalselt vaenulikke tegevusi ei tehta. Kui keelate näiteks välisseadmete ruuteritel ICMP kaja ja kaja vastuse, saate pingi testimisest lahti, kuid kaotate võrgutõrgete diagnoosimiseks vajalikud andmed. Lisaks saavad ründajad porte skannida ilma eelneva pingi testimiseta. Võrgu- ja hostitasandi turva- ja jälgimissüsteemid teevad tavaliselt head tööd, teavitades süsteemiadministraatorit käimasolevast võrguga tutvumisest. Kui administraator suhtub oma kohustustesse kohusetundlikult, võimaldab see tal eelseisvaks rünnakuks paremini valmistuda ja isegi ennetavaid meetmeid rakendada, näiteks teavitades pakkujat, kelle võrgust keegi liigset uudishimu üles näitab.
Paki nuusutamine
Paketi nuusutaja on rakendusprogramm, mis kasutab võrgukaarti, mis töötab promiscuous režiimis (selles režiimis saavad kõik paketid füüsilised kanalid, saadab võrguadapter selle töötlemiseks rakendusele). Sel juhul püüab nuusutaja ("nuusutaja") kinni kõik võrgupaketid, mis edastatakse rünnatava domeeni kaudu. Olukorra eripära on antud juhul see, et praegu töötavad nuusutajad võrkudes paljudel juhtudel täiesti seaduslikul alusel - neid kasutatakse rikete diagnoosimiseks ja liikluse analüüsimiseks. Seetõttu ei ole alati võimalik usaldusväärselt kindlaks teha, kas ründajad kasutavad konkreetset nuusutamisprogrammi või mitte ja kas programm on lihtsalt asendatud sarnase, kuid “täiustatud” funktsioonidega. Nuusutaja abil saavad ründajad teada erinevat konfidentsiaalset teavet, näiteks kasutajanimesid ja paroole. Selle põhjuseks on asjaolu, et mitmed laialdaselt kasutatavad võrgurakendused edastavad andmeid tekstivormingus (telnet, FTP, SMTP, POP3 jne). Kuna kasutajad kasutavad sageli sama sisselogimist ja parooli mitme rakenduse ja süsteemi jaoks, kujutab isegi selle teabe ühekordne pealtkuulamine tõsist ohtu ettevõtte infoturbele. Olles omandanud konkreetse töötaja sisselogimise ja parooli, saab kaval häkker pääseda ligi süsteemi tasemel kasutajaressursile ja selle abil luua uue võltskasutaja, keda saab igal ajal kasutada võrgule juurdepääsuks. ja teabeallikad. Kuid teatud tööriistakomplekti kasutades saate pakettide nuuskimise ohtu oluliselt maandada. Esiteks piisab tugevad abinõud autentimine, millest on raske mööda hiilida, isegi kasutades "inimfaktorit". Näiteks ühekordsed paroolid. See on kahefaktoriline autentimistehnoloogia, mis ühendab selle, mis teil on ja mida teate. Sel juhul genereerib riist- või tarkvara juhuslik põhimõte unikaalne ühekordne parool. Kui häkker selle parooli nuusutaja abil teada saab, on see teave kasutu, sest sel hetkel on parool juba kasutatud ja kasutuselt kõrvaldatud. Kuid see kehtib ainult paroolide kohta – näiteks meilisõnumid jäävad endiselt kaitsmata. Teine viis nuusutamise vastu võitlemiseks on nuusutamisvastaste vahendite kasutamine. Need on Internetis töötav riist- või tarkvara, mille nuuskijad tunnevad ära. Nad mõõdavad hosti reageerimisaegu ja määravad, kas hostid peavad käsitlema "lisaliiklust". Seda tüüpi tööriistad ei suuda nuuskamisohtu täielikult kõrvaldada, kuid on üliolulised tervikliku kaitsesüsteemi loomisel. Mõne asjatundja hinnangul oleks aga kõige tõhusam meede nuusutajate töö lihtsalt mõttetuks muuta. Selleks piisab sidekanali kaudu edastatavate andmete kaitsmisest kaasaegsete krüptograafiameetoditega. Selle tulemusena ei püüa häkker kinni mitte sõnumit, vaid krüpteeritud teksti, see tähendab talle arusaamatut bittide jada. Tänapäeval on levinumad krüptoprotokollid Cisco IPSec, aga ka SSH (Secure Shell) ja SSL (Secure Socket Layer) protokollid.
IP võltsimine
Pettus on teatud tüüpi rünnak, mille puhul organisatsiooni sees või väljaspool häkker kehastab volitatud kasutajat. Selleks on erinevaid viise. Näiteks võib häkker kasutada IP-aadressi, mis jääb organisatsiooni võrgus kasutamiseks volitatud IP-aadresside vahemikku, või volitatud välisaadressi, kui tal on lubatud juurdepääs teatud võrguressurssidele. Muide, IP võltsimist kasutatakse sageli keerukama ja keerukama rünnaku osana. Tüüpiline näide on DDoS-rünnak, mille puhul häkker tavaliselt hostib programmi kellegi teise IP-aadressil, et varjata nende tegelikku identiteeti. Kuid enamasti kasutatakse IP-võltsimist süsteemi keelamiseks valekäskude abil, samuti konkreetsete failide varastamiseks või, vastupidi, valeteabe sisestamiseks andmebaasidesse. Võltsimisohtu on peaaegu võimatu täielikult kõrvaldada, kuid seda saab oluliselt leevendada. Näiteks on mõttekas konfigureerida turvasüsteemid nii, et need lükkaksid tagasi igasuguse välisvõrgust tuleva liikluse lähteaadressiga, mis tegelikult peaks olema sisevõrgus. Kuid see aitab võidelda IP-i võltsimisega ainult siis, kui lubatud on ainult sisemised aadressid. Kui mõned välisaadressid on sellised, muutub selle meetodi kasutamine mõttetuks. Samuti on hea mõte igaks juhuks eelnevalt lõpetada teie võrgu kasutajate katsed teiste inimeste võrke võltsida – see meede aitab teil vältida terve rea probleeme, kui organisatsiooni sisse ilmub ründaja või lihtsalt arvutihuligaan. Selleks peate kasutama mis tahes väljuvat liiklust, kui selle lähteaadress ei kuulu organisatsiooni sisemisse IP-aadresside vahemikku. Vajadusel saab seda protseduuri läbi viia ka teie Interneti-teenuse pakkuja. Seda tüüpi filtreerimist tuntakse kui "RFC 2827". Jällegi, nagu ka pakettide nuusutamise puhul, on parim kaitse teha rünnak täiesti ebaefektiivseks. IP võltsimist saab rakendada ainult siis, kui kasutaja autentimine põhineb IP-aadressidel. Seetõttu muudab autentimise krüptimine seda tüüpi rünnaku kasutuks. Krüptimise asemel saab aga sama hästi kasutada juhuslikult genereeritud ühekordseid paroole.
Teenusest keeldumise rünnak
Tänapäeval on maailmas üks levinumaid häkkerite rünnakute vorme teenuse keelamise (DoS) rünnak. Vahepeal on see üks nooremaid tehnoloogiaid - selle rakendamine sai võimalikuks alles seoses Interneti tõeliselt laialdase levikuga. Pole juhus, et DoS rünnakutest hakati laialdaselt rääkima alles pärast seda, kui 1999. aasta detsembris ujutati selle tehnoloogia abil üle selliste tuntud korporatsioonide nagu Amazon, Yahoo, CNN, eBay ja E-Trade veebilehed. Kuigi esimesed teated millegi sarnase kohta ilmusid 1996. aastal, ei peetud DoS-i rünnakuid kuni 1999. aasta jõuluüllatuseni tõsiseks ohuks Interneti turvalisusele. Kuid aasta hiljem, 2000. aasta detsembris, kordus kõik uuesti: suurimate korporatsioonide veebisaite rünnati DoS-tehnoloogia abil ning nende süsteemiadministraatorid ei suutnud taas ründajatele vastu astuda. Noh, 2001. aastal said DoS rünnakud Äri nagu tavaliselt. Rangelt võttes ei kasutata DoS-rünnakuid teabe varastamise või sellega manipuleerimise eesmärgil. Nende peamine eesmärk on halvata rünnatava veebisaidi töö. Sisuliselt on see lihtsalt võrguterrorism. Pole juhus, et Ameerika luureagentuurid kahtlustavad, et paljude suurkorporatsioonide serverite vastu suunatud DoS-rünnakute taga on kurikuulsad antiglobalistid. Tõepoolest, üks asi on kuskil Madridis või Prahas McDonald’si akent telliskiviga visata ja hoopis teine asi on selle superkorporatsiooni veebileht kokku kukkuda, millest on ammu saanud omamoodi maailmamajanduse globaliseerumise sümbol. DoS-rünnakud on ohtlikud ka seetõttu, et nende juurutamiseks ei pea küberterroristid omama eriteadmisi ja -oskusi – kogu vajalik tarkvara koos tehnoloogia enda kirjeldustega on internetis täiesti vabalt kättesaadav. Lisaks on seda tüüpi rünnakute eest väga raske kaitsta. Üldiselt näeb DoS-i ründetehnoloogia välja selline: sihtmärgiks valitud veebisaiti pommitatakse valepäringute tulv paljudelt arvutitelt üle maailma. Selle tulemusena on sõlme teenindavad serverid halvatud ega suuda tavakasutajate taotlusi teenindada. Samas ei aima nende arvutite kasutajad, kust saadetakse valepäringuid, isegi mitte kahtlust, et nende masinat ründajad salaja kasutavad. Selline "töökoormuse" jaotus mitte ainult ei suurenda rünnaku hävitavat mõju, vaid muudab selle tõrjumise meetmed oluliselt keerulisemaks, muutes rünnaku koordinaatori tegeliku aadressi tuvastamise võimatuks. Tänapäeval on kõige sagedamini kasutatavad DoS-rünnakute tüübid:
Smurf – ping taotleb ICMP-d (Internet Control Message Protocol) suunatud leviaadressile. Selle päringu pakettides kasutatud võltsallikaaadress on lõpuks rünnaku sihtmärk. Süsteemid, mis võtavad vastu suunatud leviedastuse pingipäringu, vastavad sellele ja ujutavad üle võrgu, milles sihtserver asub.
- ICMP üleujutus on Smurfiga sarnane rünnak, kuid ilma võimenduseta, mille tekitavad päringud suunatud leviaadressile.
- UDP üleujutus - paljude UDP (User Datagram Protocol) pakettide saatmine sihtsüsteemi aadressile, mis viib võrguressursside "sidumiseni".
- TCP üleujutus - paljude TCP-pakettide saatmine sihtsüsteemi aadressile, mis viib ka võrguressursside "sidumiseni".
- TCP SYN-i üleujutus – seda tüüpi rünnakute läbiviimisel väljastatakse suur hulk taotlusi TCP-ühenduste initsialiseerimiseks sihthostiga, mis selle tulemusena peab kulutama kõik oma ressursid nende osaliselt avatud ühenduste jälitamiseks.
Rünnaku korral tuleb rünnatava võrgu ülekoormamiseks mõeldud liiklus Interneti-teenuse pakkuja juures "katkestada", kuna võrgu sissepääsu juures pole seda enam võimalik teha - kogu ribalaius on hõivatud. Kui seda tüüpi rünnak viiakse samaaegselt läbi paljude seadmete kaudu, siis väidetakse, et see levib DoS rünnak(Distributed Denial of Service – DDoS). DoS-rünnakute ohtu saab leevendada mitmel viisil. Esiteks peate korralikult konfigureerima ruuterite ja tulemüüride võltsimisvastased funktsioonid. Need funktsioonid peavad sisaldama vähemalt RFC 2827 filtreerimist. Kui häkker ei suuda oma tegelikku identiteeti varjata, ei soorita ta tõenäoliselt rünnakut. Teiseks peate ruuterites ja tulemüürides lubama ja õigesti konfigureerima DoS-i vastased funktsioonid. Need funktsioonid piiravad pooleldi avatud kanalite arvu, vältides süsteemi ülekoormust. Samuti on DoS-rünnaku ohu korral soovitatav piirata võrku läbiva mittekriitilise liikluse mahtu. Peate selle oma Interneti-teenuse pakkujaga läbi rääkima. See piirab tavaliselt ICMP-liikluse mahtu, kuna seda kasutatakse ainult diagnostilistel eesmärkidel.
Man-in-the-Middle rünnakud
Seda tüüpi rünnak on tööstusspionaažile väga tüüpiline. Man-in-the-Middle ründes peab häkker saama ligipääsu võrgu kaudu edastatavatele pakettidele ja seetõttu on ründajate rolliks antud juhul sageli ettevõtte töötajad ise või näiteks teenusepakkuja töötaja. ettevõte. Man-in-the-Middle rünnakud kasutavad sageli pakettide nuusutajaid, transpordiprotokolle ja marsruutimisprotokolle. Sellise ründe eesmärk on vastavalt varastada või võltsida edastatud teavet või pääseda ligi võrguressurssidele. Selliste rünnakute eest on äärmiselt raske kaitsta, kuna tavaliselt on need rünnakud organisatsioonis endas oleva "mutti" poolt. Seetõttu saate puhttehnilises mõttes end kaitsta vaid edastatud andmete krüpteerimisega. Siis saab häkker talle vajalike andmete asemel hoopis sümbolite virvarri, millest ilma superarvutita käepärast on lihtsalt võimatu aru saada. Kui aga ründajal veab ja ta suudab krüptograafilise seansi kohta teavet kinni püüda, kaotab andmete krüpteerimine automaatselt igasuguse tähenduse. Seega ei tohiks sel juhul võitluse "eesrinnas" olla mitte "tehnikud", vaid ettevõtte personaliosakond ja turvateenistus.
"Aukude" ja "vigade" kasutamine tarkvaras
Väga-väga levinud häkkerite rünnete tüüp on turvaaukude (enamasti banaalsete vigade) kasutamine laialdaselt kasutatavas tarkvaras, eelkõige serverites. Eriti "kuulus" oma ebausaldusväärsuse ja Microsofti tarkvara nõrga turvalisuse poolest. Tavaliselt areneb olukord järgmiselt: keegi avastab serveritarkvaras "augu" või "vea" ja avaldab selle teabe Internetis vastavas foorumis. Selle tarkvara tootja annab välja paiga (“plaaster”), mis selle probleemi kõrvaldab, ja avaldab selle oma veebiserveris. Probleem on selles, et kõik administraatorid ei jälgi lihtsa laiskuse tõttu pidevalt plaastrite tuvastamist ja ilmumist ning ka “augu” avastamise ja “plaastri” kirjutamise vahel läheb aega: Häkkerid loevad ka temaatilisi konverentse ja , Peame neile oma kohustuse andma, nad rakendavad saadud teavet praktikas väga osavalt. Pole juhus, et enamik maailma juhtivatest infoturbeekspertidest on endised häkkerid.
Sellise rünnaku põhieesmärk on saada rakendust käitava kasutaja nimel serverile ligipääs, tavaliselt süsteemiadministraatori õiguste ja vastava juurdepääsutasemega. Seda tüüpi rünnakute eest on üsna raske kaitsta. Üks põhjusi, lisaks ebakvaliteetsele tarkvarale, on see, et selliste rünnete sooritamisel kasutavad ründajad sageli porte, mida lubatakse tulemüür ja mida ei saa puhtalt tehnoloogilistel põhjustel sulgeda. Nii et parim kaitse on sel juhul pädev ja kohusetundlik süsteemiadministraator.
See on alles algus…
Koos iga põllukultuuri saagi laienemisega suureneb alati ka selle põllukultuuri kahjurite arv. Samuti kasvab infotehnoloogiate arenedes ja nende tungimisega tänapäeva elu kõikidesse valdkondadesse neid tehnoloogiaid aktiivselt kasutavate ründajate arv. Seetõttu muutuvad lähitulevikus arvutivõrkude kaitsmise küsimused üha aktuaalsemaks. Lisaks toimub kaitsmine kahes põhivaldkonnas: tehnoloogiline ja nõustamine. Mis puudutab ekspertide hinnangul infoturbe tööstuse arengu peamisi suundumusi kuulus firma Yankee Group on lähiaastatel järgmised:
1. Rõhk ehitusel kaitsesüsteemid liigub sujuvalt – alates "välistest" häkkerite rünnakutest kuni "seestpoolt" rünnakute eest kaitsmiseni.
2. Arendatakse ja täiustatakse riistvaralist kaitset häkkerite rünnakute vastu. Turule ilmub uus võrguseadmete klass - "kaitselülitid". Need suudavad pakkuda arvutivõrkudele igakülgset kaitset, samas kui tänapäevased seadmed täidavad tavaliselt üsna piiratud hulga spetsiifilisi funktsioone ja põhikoormus langeb endiselt spetsialiseeritud tarkvarale.
3. Kiire arengu tagab digitaalse sisu turvalise edastamise ja sisu enda kaitsmise teenuste turg ebaseadusliku kopeerimise ja loata kasutamise eest. Paralleelselt turvalise kohaletoimetamise turu arenguga arenevad ka vastavad tehnoloogiad. The Yankee Groupi eksperdid hindavad selle turu mahuks 2001. aasta tulemuste põhjal 200 miljonit dollarit ja prognoosivad kasvuks 2005. aastaks 2 miljardit dollarit.
4. Hoopis laiemalt hakatakse kasutama biomeetrilisi autentimissüsteeme (võrkkest, sõrmejäljed, hääl jne), sealhulgas keerukaid. Suur osa sellest, mida praegu saab näha ainult tegevusterohketes filmides, lülitatakse ettevõtte igapäevaellu.
5. Aastaks 2005 pakuvad Interneti-teenuse pakkujad oma klientidele lõviosa turvateenustest. Lisaks on nende peamisteks klientideks ettevõtted, kelle äritegevus on üles ehitatud spetsiaalselt Interneti-tehnoloogiatele, st veebimajutusteenuste, e-kaubanduse süsteemide jms aktiivsed tarbijad.
6. Arvatakse, et intelligentsete võrkude turvateenuste turg kasvab kiiresti. Selle põhjuseks on asjaolu, et IT-süsteemide häkkerite eest kaitsmise uued kontseptsioonid ei keskendu mitte niivõrd juba toimunud sündmustele/rünnakutele reageerimisele, vaid nende ennustamisele, ennetamisele ning ennetavatele ja ennetavatele meetmetele.
7. Nõudlus kommertskrüptograafiliste krüpteerimissüsteemide järele edastatavatele andmetele suureneb oluliselt, sh “kohandatud” arendused konkreetsetele ettevõtetele, arvestades nende tegevusvaldkondi.
8. IT-turbelahenduste turul toimub järkjärguline nihe “standardsüsteemidest” ning seetõttu suureneb nõudlus konsultatsiooniteenuste järele infoturbe kontseptsioonide väljatöötamiseks ja infoturbe juhtimissüsteemide ehitamiseks. konkreetsetele klientidele.
Infoturbesüsteemide ja -teenuste turg areneb ka “postsovetlikus ruumis” – kuigi mitte samas tempos ja mitte samas mahus kui läänes. Nagu teatas ajaleht Kommersant, arendati Venemaal infoinfrastruktuuri erinevat tüüpi organisatsioonid kulutavad 1% (metallurgia) kuni 30% (finantssektor) oma eelarvest. Samas moodustavad kaitsekulud seni vaid ca 0,1-0,2% eelarvete kuluosast. Seega on Venemaa infoturbesüsteemide turu kogumahuks 2001. aastal ekspertide hinnangul 40-80 miljonit dollarit. 2002. aastal peaksid need riigieelarve eelnõus sisalduvate andmete järgi ulatuma 60-120 miljoni dollarini. Võrdluseks: nagu näitavad hiljutised IDC uuringud, peaks ainuüksi infoturbetoodete (tarkvara ja riistvara) Euroopa turu suurus suurenema 1,8 miljardilt dollarilt 2000. aastal 6,2 miljardile dollarile 2005. aastal.
