Utangulizi

Shambulio kwenye mfumo wa kompyuta ni hatua inayofanywa na mshambuliaji, ambayo inajumuisha kutafuta na kutumia udhaifu fulani. Kwa hivyo, shambulio ni utekelezaji wa tishio. Kumbuka kwamba tafsiri hii ya shambulio (inayohusisha mtu mwenye nia mbaya) haijumuishi kipengele cha bahati nasibu kilichopo katika ufafanuzi wa tishio, lakini, kama uzoefu unaonyesha, mara nyingi haiwezekani kutofautisha kati ya vitendo vya kukusudia na vya bahati mbaya, na ulinzi mzuri. mfumo lazima ujibu ipasavyo kwa mojawapo yao.

Tishio ufichuzi iko katika ukweli kwamba habari inajulikana kwa mtu ambaye hapaswi kuijua. Katika masharti ya usalama wa kompyuta, tishio la kufichuliwa hutokea wakati baadhi ya taarifa za siri zilizohifadhiwa kwenye mfumo wa kompyuta au kuhamishwa kutoka mfumo mmoja hadi mwingine zinapofikiwa. Wakati mwingine maneno "wizi" au "kuvuja" hutumiwa badala ya neno "kufichua".

Tishio uadilifu inajumuisha mabadiliko yoyote ya kimakusudi (kurekebisha au hata kufuta) data iliyohifadhiwa katika mfumo wa kompyuta au kuhamishwa kutoka mfumo mmoja hadi mwingine. Kwa ujumla inaaminika kuwa huluki za serikali huathirika zaidi na tishio la kufichuliwa, ilhali mashirika ya biashara au ya kibiashara yanaathiriwa zaidi na tishio la uadilifu.

Tishio kunyimwa huduma hutokea wakati wowote, kama matokeo ya vitendo fulani, ufikiaji wa rasilimali fulani ya mfumo wa kompyuta umezuiwa. Kwa kweli, uzuiaji unaweza kuwa wa kudumu, kiasi kwamba rasilimali iliyoombwa haipokelewi kamwe, au inaweza tu kusababisha rasilimali iliyoombwa kucheleweshwa kwa muda wa kutosha kuifanya kuwa haina maana. Katika hali kama hizi, rasilimali inasemekana imeisha.

Vitisho vya kawaida kwenye mtandao ni:

· Kushindwa kwa mojawapo ya vipengele vya mtandao. Kushindwa kutokana na hitilafu za muundo au hitilafu za maunzi au programu kunaweza kusababisha kunyimwa huduma au maelewano ya usalama kutokana na utendakazi usiofaa wa mojawapo ya vipengele vya mtandao. Kufeli kwa ngome au kukataliwa kwa uidhinishaji wa uwongo na seva za uthibitishaji ni mifano ya kutofaulu ambayo ina athari ya usalama.

· Kuchanganua habari. Utazamaji usioidhinishwa wa taarifa muhimu na wavamizi au watumiaji walioidhinishwa unaweza kutokea kwa kutumia mbinu mbalimbali - barua pepe na eneo lisilo sahihi, uchapishaji wa printa, orodha za udhibiti wa ufikiaji zilizosanidiwa vibaya, watu wengi wanaoshiriki kitambulisho sawa, n.k.

· Matumizi ya taarifa kwa madhumuni mengine - matumizi ya taarifa kwa madhumuni mengine isipokuwa yaliyoidhinishwa yanaweza kusababisha kunyimwa huduma, gharama zisizo za lazima, na kupoteza sifa. Wahalifu wa hii wanaweza kuwa watumiaji wa ndani na wa nje.

· Masquerade - majaribio ya kujificha kama mtumiaji aliyeidhinishwa kuiba huduma au taarifa, au kuanzisha miamala ya kifedha ambayo itasababisha hasara ya kifedha au matatizo kwa shirika.

1. Kugundua mashambulizi

Kihistoria, teknolojia zinazotumiwa kujenga mifumo ya kutambua mashambulizi zimegawanywa kwa kawaida katika makundi mawili: utambuzi wa hitilafu na utambuzi wa matumizi mabaya. Hata hivyo, katika mazoezi, uainishaji mwingine hutumiwa ambao unazingatia kanuni za utekelezaji wa vitendo wa mifumo hiyo: kugundua mashambulizi katika ngazi ya mtandao (msingi wa mtandao) na katika ngazi ya jeshi (mwenyeji-msingi). Mifumo ya zamani inachambua trafiki ya mtandao, wakati ya mwisho inachambua mfumo wa uendeshaji au kumbukumbu za programu. Kila moja ya madarasa ina faida na hasara zake, lakini zaidi juu ya hilo baadaye. Ikumbukwe kwamba ni baadhi tu ya mifumo ya kutambua mashambulizi inaweza kuainishwa bila utata katika mojawapo ya aina hizi. Kwa kawaida, hujumuisha uwezo kutoka kwa makundi kadhaa. Walakini, uainishaji huu unaonyesha vipengele muhimu, kutofautisha mfumo mmoja wa kutambua mashambulizi kutoka kwa mwingine.

Kwa sasa, teknolojia ya kugundua hitilafu haitumiki sana, na hakuna mfumo unaosambazwa kibiashara unaoitumia. Hii ni kutokana na ukweli kwamba teknolojia hii inaonekana nzuri katika nadharia, lakini ni vigumu sana kutekeleza katika mazoezi. Sasa, hata hivyo, kumekuwa na kurudi kwa taratibu (hasa nchini Urusi), na mtu anaweza kutumaini kwamba hivi karibuni watumiaji wataweza kuona mifumo ya kwanza ya kugundua mashambulizi ya kibiashara kwa kutumia teknolojia hii.

Mbinu nyingine ya kugundua shambulio ni kugundua matumizi mabaya, ambayo inahusisha kuelezea shambulio kama mchoro au sahihi na kutafuta mchoro huu katika nafasi inayofuatiliwa (trafiki ya mtandao au kumbukumbu). Mifumo ya antivirus ni mfano mkuu wa mfumo wa kutambua mashambulizi kwa kutumia teknolojia hii.

Kama ilivyoonyeshwa hapo juu, kuna aina mbili za mifumo ambayo hugundua mashambulizi kwenye mtandao na viwango vya uendeshaji. Faida kuu ya mifumo ya kutambua mashambulizi ya mtandao ni kwamba hutambua mashambulizi kabla ya kuwafikia walengwa. Mifumo hii ni rahisi kusambaza ndani mitandao mikubwa, kwa sababu hazihitaji ufungaji kwenye majukwaa mbalimbali yanayotumiwa katika shirika. Katika Urusi, mifumo ya uendeshaji inayotumiwa zaidi ni MS-DOS, Windows 95, NetWare na Windows NT. Lahaja mbalimbali za UNIX bado hazijaenea hapa kama Magharibi. Kwa kuongezea, mifumo ya kugundua uingiliaji wa kiwango cha mtandao haina athari yoyote kwenye utendakazi wa mtandao.

Mifumo ya ugunduzi wa uvamizi wa mwenyeji imeundwa ili kuendesha mfumo maalum wa uendeshaji, ambayo inaweka vikwazo fulani kwao. Kwa mfano, sifahamu mfumo wowote wa darasa hili unaoendesha MS-DOS au Windows kwa Vikundi vya kazi (na mifumo hii ya uendeshaji bado ni ya kawaida kabisa nchini Urusi). Kwa kutumia ujuzi wa jinsi mfumo wa uendeshaji unapaswa kufanya kazi, zana zilizoundwa kwa mbinu hii wakati mwingine zinaweza kutambua uingiliaji ambao zana za kutambua uvamizi wa mtandao hukosa. Hata hivyo, hii mara nyingi huja kwa gharama kwa sababu ukataji wa miti unaohitajika ili kutekeleza aina hii ya ugunduzi hupunguza kwa kiasi kikubwa utendakazi wa seva pangishi inayolindwa. Mifumo kama hiyo hupakia sana kichakataji na huhitaji nafasi kubwa ya diski kuhifadhi kumbukumbu na, kimsingi, haitumiki kwa mifumo muhimu sana inayofanya kazi kwa wakati halisi (kwa mfano, mfumo wa siku hadi siku wa benki au mfumo wa udhibiti wa usimamizi) . Bila kujali, mbinu hizi zote mbili zinaweza kutumika kulinda shirika lako. Ikiwa ungependa kulinda seva pangishi moja au zaidi, mifumo ya ugunduzi wa uvamizi wa kiwango cha mwenyeji inaweza kuwa chaguo nzuri. Lakini ikiwa unataka kulinda nodes nyingi za mtandao wa shirika, basi mifumo ya kugundua uingilizi wa kiwango cha mtandao labda ndiyo chaguo bora zaidi, kwani kuongeza idadi ya nodi kwenye mtandao haitaathiri kiwango cha usalama kilichopatikana na mfumo wa kugundua uingilizi. Anaweza kuifanya bila mipangilio ya ziada linda nodi za ziada, wakati katika kesi ya kutumia mfumo unaofanya kazi katika kiwango cha mwenyeji, itahitaji kusakinishwa na kusanidiwa kwenye kila seva pangishi inayolindwa. Suluhisho bora litakuwa mfumo wa kugundua mashambulizi ambao unachanganya mbinu hizi zote mbili.

Mifumo ya kugundua uvamizi wa kibiashara (IDS) kwenye soko leo hutumia mtandao au mbinu ya mifumo kutambua na kuepusha mashambulizi. Kwa hali yoyote, bidhaa hizi zinatafuta saini za mashambulizi, mifumo maalum ambayo kwa kawaida huonyesha shughuli ya chuki au ya kutiliwa shaka. Katika hali ya kutafuta ruwaza hizi katika trafiki ya mtandao, IDS hufanya kazi kiwango cha mtandao. IDS ikitafuta saini za mashambulizi katika mfumo wa uendeshaji au kumbukumbu za programu, basi kiwango cha mfumo. Kila mbinu ina faida na hasara zake, lakini zote mbili zinakamilishana. Ufanisi zaidi ni mfumo wa kutambua mashambulizi ambayo hutumia teknolojia zote mbili katika kazi yake. Nyenzo hii inajadili tofauti za mbinu za kutambua mashambulizi kwenye mtandao na viwango vya mfumo ili kuonyesha uwezo na udhaifu wao. Pia inaeleza chaguo za kutumia kila mbinu ili kugundua mashambulizi kwa ufanisi zaidi.

1.1. Utambuzi wa mashambulizi katika kiwango cha mtandao

Mifumo ya kugundua mashambulizi ya safu ya mtandao hutumia pakiti ghafi za mtandao kama chanzo cha data kwa uchanganuzi. Kwa kawaida, IDS za safu ya mtandao hutumia adapta ya mtandao inayofanya kazi katika hali ya uasherati na kuchanganua trafiki kwa wakati halisi inapopitia sehemu ya mtandao. Moduli ya utambuzi wa shambulio hutumia nne kwa upana mbinu zinazojulikana kutambua saini ya shambulio:

o Kuzingatia trafiki na muundo (saini), usemi au bytecode inayoonyesha shambulio au hatua ya kutiliwa shaka;

o Kufuatilia mzunguko wa matukio au kuzidi kizingiti;

o Uwiano wa matukio mengi ya kipaumbele cha chini;

o Ugunduzi wa hitilafu za takwimu.

Mara tu shambulio linapogunduliwa, moduli ya majibu hutoa chaguzi anuwai za arifa, kengele, na hatua za kukabiliana na shambulio hilo. Chaguo hizi hutofautiana kutoka kwa mfumo hadi mfumo, lakini kwa kawaida hujumuisha: kumjulisha msimamizi kupitia dashibodi au barua pepe, kusitisha muunganisho na seva pangishi anayeshambulia, na/au kurekodi kipindi kwa uchanganuzi wa baadaye na ukusanyaji wa ushahidi.

1.2. Utambuzi wa shambulio la kiwango cha mfumo

Mapema miaka ya 1980, kabla ya mtandao kuanza, mbinu ya kawaida ya kugundua mashambulizi ilikuwa kukagua kumbukumbu kwa matukio ambayo yangeonyesha shughuli za kutiliwa shaka. Mifumo ya kisasa ya kutambua mashambulizi ya kiwango cha mfumo inasalia kuwa chombo chenye nguvu cha kuelewa mashambulizi ya awali na kutambua mbinu zinazofaa ili kupunguza matumizi mabaya ya siku zijazo. IDS za kisasa za kiwango cha mfumo bado zinatumia kumbukumbu, lakini zimekuwa otomatiki zaidi na zinajumuisha mbinu za kisasa utambuzi kulingana na utafiti wa hivi karibuni katika uwanja wa hisabati. Kwa kawaida, mfumo wa ufuatiliaji wa IDS wa kiwango cha mfumo, matukio na kumbukumbu za usalama (kumbukumbu za usalama au syslog) kwenye mitandao inayoendeshwa chini ya Udhibiti wa Windows NT au Unix. Faili zozote kati ya hizi zinapobadilika, IDS hulinganisha maingizo mapya na sahihi za mashambulizi ili kuona kama kuna zinazolingana. Ikiwa ulinganifu kama huo utapatikana, mfumo hutuma kengele kwa msimamizi au kuwezesha njia zingine za majibu zilizobainishwa.

IDS za kiwango cha mfumo zinaendelea kubadilika, hatua kwa hatua ikijumuisha mbinu mpya zaidi za utambuzi. Njia moja maarufu ni kuangalia hesabu za mfumo muhimu na faili zinazoweza kutekelezwa kwa vipindi vya kawaida ili kuangalia mabadiliko ambayo hayajaidhinishwa. Muda wa majibu unahusiana moja kwa moja na marudio ya uchunguzi. Baadhi ya bidhaa husikiliza milango inayotumika na kumjulisha msimamizi mtu anapojaribu kuzifikia. Ugunduzi wa aina hii huleta kiwango cha awali cha ugunduzi wa mashambulizi ya kiwango cha mtandao katika mazingira ya uendeshaji.

1.3. Manufaa ya mifumo ya kugundua mashambulizi katika kiwango cha mtandao

Vitambulisho vya kiwango cha mtandao vina manufaa mengi ambayo mifumo ya kutambua uingiliaji wa kiwango cha mfumo haina. Kwa kweli, wateja wengi hutumia mfumo wa kugundua uingiliaji wa safu ya mtandao kutokana na gharama yake ya chini na majibu ya wakati. Zifuatazo ni sababu kuu zinazofanya ugunduzi wa mashambulizi ya kiwango cha mtandao kuwa sehemu muhimu zaidi ya utekelezaji bora wa sera ya usalama.

1. Gharama ya chini ya uendeshaji. IDS ya safu ya mtandao lazima isakinishwe katika maeneo muhimu kwenye mtandao ili kudhibiti trafiki kati ya mifumo mingi. Mifumo ya safu ya mtandao haihitaji programu ya kugundua uingiliaji kusakinishwa kwenye kila seva pangishi. Kwa kuwa idadi ya maeneo ambayo IDS imewekwa ili kufuatilia mtandao mzima ni ndogo, gharama ya uendeshaji wao katika mtandao wa biashara ni ya chini kuliko gharama ya uendeshaji wa mifumo ya kugundua mashambulizi katika ngazi ya mfumo.

2. Tambua mashambulizi ambayo yamekosa katika kiwango cha mfumo. Vitambulisho vya safu ya mtandao huchunguza vichwa vya pakiti za mtandao kwa shughuli za kutiliwa shaka au chuki. Vitambulisho vya kiwango cha mfumo havishughulikii vichwa vya pakiti, kwa hivyo haviwezi kugundua aina hizi za mashambulizi. Kwa mfano, mashambulizi mengi ya mtandao kama vile kunyimwa huduma na kutoa machozi yanaweza tu kutambuliwa kwa kuchanganua vichwa vya pakiti wanapopitia mtandao. Aina hii ya shambulio inaweza kutambuliwa kwa haraka kwa kutumia safu ya IDS ya mtandao ambayo hutazama trafiki kwa wakati halisi. Vitambulisho vya safu ya mtandao vinaweza kuchunguza maudhui ya hifadhi ya data ya pakiti, kutafuta amri au sintaksia mahususi inayotumika katika mashambulizi mahususi. Kwa mfano, wakati mdukuzi anapojaribu kutumia programu ya Back Orifice kwenye mifumo ambayo bado haijaathiriwa nayo, ukweli huu unaweza kugunduliwa kwa kuchunguza yaliyomo kwenye mwili wa data wa mfuko. Kama ilivyojadiliwa hapo juu, mifumo ya kiwango cha mfumo haifanyi kazi katika kiwango cha mtandao na kwa hivyo haiwezi kutambua mashambulizi kama hayo.

3. Ni ngumu zaidi kwa mdukuzi kuondoa athari za uwepo wake. IDS ya safu ya mtandao hutumia trafiki ya moja kwa moja kugundua mashambulizi kwa wakati halisi. Kwa hivyo, hacker hawezi kuondoa athari za uwepo wake. Data iliyochanganuliwa inajumuisha sio tu habari kuhusu mbinu ya shambulio, lakini pia habari ambayo inaweza kusaidia katika kutambua mshambuliaji na kuithibitisha mahakamani. Kwa sababu wavamizi wengi wanafahamu kumbukumbu kwa karibu, wanajua jinsi ya kuendesha faili hizi ili kuficha athari za shughuli zao, na hivyo kupunguza ufanisi wa mifumo ya kiwango cha mfumo inayohitaji maelezo haya ili kugundua shambulio.

4. Utambuzi na majibu ya wakati halisi. IDS za kiwango cha mtandao hutambua mashambulizi ya kutiliwa shaka na ya chuki INAPOTOKEA na kwa hivyo hutoa arifa na majibu ya haraka zaidi kuliko IDS za kiwango cha mfumo. Kwa mfano, mdukuzi anayezindua safu ya mtandao ya kunyimwa huduma kwa msingi wa TCP anaweza kusimamishwa kwa IDS ya safu ya mtandao kutuma seti ya bendera katika kichwa cha pakiti cha TCP ili kuzima muunganisho na seva pangishi inayoshambulia kabla ya shambulio hilo kusababisha uharibifu au uharibifu mlengwa hosta Vitambulisho vya kiwango cha mfumo kwa kawaida havitambui mashambulizi hadi shambulio liingizwe na kujibu baada ya shambulio kurekodiwa. Katika hatua hii, wengi mifumo muhimu au rasilimali zinaweza tayari kuathiriwa au mfumo unaoendesha IDS ya kiwango cha mfumo unaweza kuathirika. Arifa ya wakati halisi hukuruhusu kujibu haraka kulingana na vigezo vilivyoainishwa. Maitikio haya huanzia kwa kuruhusu kupenya katika hali ya ufuatiliaji ili kukusanya taarifa kuhusu shambulizi na mshambulizi, hadi kukomesha mashambulizi mara moja.

5. Utambuzi wa mashambulizi yaliyoshindwa au nia ya kutiliwa shaka. IDS ya safu ya mtandao iliyosakinishwa nje ya ngome inaweza kutambua mashambulizi yanayolenga rasilimali nyuma ya ngome, ingawa ngome inaweza kuzima majaribio haya. Mifumo ya kiwango cha mfumo haioni mashambulizi yaliyoakisiwa ambayo hayafikii seva pangishi nyuma ya ngome. Taarifa hii iliyopotea inaweza kuwa muhimu zaidi wakati wa kutathmini na kuboresha sera za usalama.

6. Uhuru wa OS. IDS za kiwango cha mtandao hazitegemei mifumo ya uendeshaji iliyosakinishwa kwenye mtandao wa shirika. Mifumo ya kugundua uvamizi wa kiwango cha mfumo inahitaji mifumo maalum ya uendeshaji kufanya kazi vizuri na kutoa matokeo yanayohitajika.

1.4. Manufaa ya mifumo ya kutambua mashambulizi ya kiwango cha mfumo

Ingawa mifumo ya ugunduzi wa uingiliaji wa kiwango cha mfumo sio haraka kama wenzao wa kiwango cha mtandao, inatoa faida ambazo mifumo hiyo haina. Manufaa haya yanajumuisha uchanganuzi wa kina zaidi, uzingatiaji wa karibu zaidi wa data ya tukio mahususi ya mwenyeji, na gharama ya chini ya utekelezaji.

1. Inathibitisha kufanikiwa au kutofaulu kwa shambulio hilo. Kwa kuwa IDS za kiwango cha mfumo hutumia kumbukumbu zilizo na data kuhusu matukio ambayo yalitokea, IDS za darasa hili zinaweza usahihi wa juu kuamua kama shambulio hilo lilifanikiwa au la. Kuhusiana na hili, IDS za kiwango cha mfumo hutoa kikamilisho bora kwa mifumo ya kugundua uvamizi wa kiwango cha mtandao. Mchanganyiko huu hutoa onyo la mapema kupitia sehemu ya mtandao na "mafanikio" ya shambulio kupitia sehemu ya mfumo.

2. Hudhibiti shughuli za nodi maalum. IDS ya kiwango cha mfumo hufuatilia shughuli za mtumiaji, ufikiaji wa faili, mabadiliko ya ruhusa za faili, majaribio ya kusakinisha programu mpya na/au majaribio ya kupata ufikiaji wa huduma maalum. Kwa mfano, IDS ya kiwango cha mfumo inaweza kufuatilia shughuli zote za kuingia na kuondoka kwa mtumiaji, pamoja na vitendo ambavyo kila mtumiaji hufanya akiwa ameunganishwa kwenye mtandao. Ni vigumu sana kwa mfumo wa safu ya mtandao kutoa kiwango hiki cha maelezo ya tukio. Teknolojia ya kugundua uvamizi wa kiwango cha mfumo pia inaweza kufuatilia shughuli ambazo kwa kawaida zinaweza kufanywa na msimamizi pekee. Mifumo ya uendeshaji hurekodi tukio lolote ambapo akaunti za mtumiaji zinaongezwa, kufutwa au kurekebishwa. Vitambulisho vya kiwango cha mfumo vinaweza kugundua mabadiliko yanayolingana mara tu yanapotokea. Vitambulisho vya kiwango cha mfumo vinaweza pia kukagua mabadiliko ya sera ya usalama ambayo huathiri jinsi mifumo inavyofuatilia kumbukumbu zao, n.k.

Hatimaye, mifumo ya kutambua uingizaji wa kiwango cha mfumo inaweza kufuatilia mabadiliko ya faili muhimu za mfumo au faili zinazoweza kutekelezwa. Majaribio ya kubatilisha faili kama hizo au kusakinisha Trojan horses yanaweza kutambuliwa na kusimamishwa. Mifumo ya safu ya mtandao wakati mwingine hukosa aina hii ya shughuli.

3. Tambua mashambulizi ambayo mifumo ya safu ya mtandao inakosa. Vitambulisho vya kiwango cha mfumo vinaweza kugundua mashambulizi ambayo zana za kiwango cha mtandao haziwezi kutambua. Kwa mfano, mashambulizi yanayotoka kwa seva yenyewe iliyoshambuliwa hayawezi kutambuliwa na mifumo ya kutambua mashambulizi ya kiwango cha mtandao.

4. Inafaa kwa mitandao iliyosimbwa na iliyobadilishwa. Kwa sababu IDS ya kiwango cha mfumo imesakinishwa kwenye seva pangishi mbalimbali katika mtandao wa biashara, inaweza kushinda baadhi ya changamoto zinazopatikana wakati wa kutumia mifumo ya kiwango cha mtandao kwenye mitandao iliyowashwa na iliyosimbwa kwa njia fiche.

Kubadilisha huruhusu mitandao ya kiwango kikubwa kudhibitiwa kama sehemu nyingi ndogo za mtandao. Kwa hiyo, inaweza kuwa vigumu kuamua eneo bora zaidi la kusakinisha IDS ya safu ya mtandao. Wakati mwingine kudhibiti bandari na vioo, bandari za trafiki kwenye swichi zinaweza kusaidia, lakini njia hizi hazitumiki kila wakati. Kugundua mashambulizi katika ngazi ya mfumo huhakikisha uendeshaji bora zaidi katika mitandao iliyobadilishwa, kwa sababu ... hukuruhusu kuweka IDS kwenye nodi hizo pekee inapohitajika.

Aina fulani za usimbaji fiche pia huleta changamoto kwa mifumo ya kugundua uvamizi wa safu ya mtandao. Kulingana na mahali usimbaji fiche unafanywa (kiungo au mteja), IDS ya safu ya mtandao inaweza kubaki "kipofu" kwa mashambulizi fulani. Vitambulisho vya kiwango cha mfumo hazina kikomo hiki. Kwa kuongeza, OS, na kwa hivyo IDS ya kiwango cha mfumo, inachambua trafiki inayoingia iliyosimbwa.

5. Karibu na utambuzi na majibu katika wakati halisi. Ingawa utambuzi wa mashambulizi ya kiwango cha mfumo hautoi jibu la wakati halisi, hutoa utekelezaji sahihi, inaweza kutekelezwa kwa kiwango karibu halisi. Tofauti na mifumo iliyopitwa na wakati ambayo hukagua hali na yaliyomo katika kumbukumbu kwa vipindi vilivyoamuliwa mapema, IDS nyingi za kisasa za kiwango cha mfumo hupokea usumbufu kutoka kwa Mfumo wa Uendeshaji pindi tu ingizo jipya la kumbukumbu linapoonekana. Ingizo hili jipya linaweza kuchakatwa mara moja, kwa kiasi kikubwa kupunguza muda kati ya kutambua shambulio na kulijibu. Bado kuna ucheleweshaji kati ya wakati mfumo wa uendeshaji unaandika tukio kwenye logi na wakati unatambuliwa na mfumo wa kugundua uvamizi, lakini katika hali nyingi mshambuliaji anaweza kutambuliwa na kusimamishwa kabla ya uharibifu wowote kufanyika.

6. Haihitaji vifaa vya ziada. Mifumo ya kugundua uingiliaji wa kiwango cha mfumo imewekwa kwenye miundombinu ya mtandao iliyopo, ikijumuisha seva za faili, seva za Wavuti na rasilimali zingine zinazotumiwa. Uwezo huu unaweza kufanya IDS za kiwango cha mfumo kuwa za gharama nafuu kwa sababu hazihitaji nodi nyingine kwenye mtandao kuhudumia, kutunza na kudhibiti.

7. Bei ya chini. Ingawa mifumo ya kugundua uingiliaji wa kiwango cha mtandao hutoa uchanganuzi wa trafiki wa mtandao mzima, mara nyingi ni ghali sana. Gharama ya mfumo mmoja wa kugundua uvamizi inaweza kuzidi $10,000. Kwa upande mwingine, mifumo ya kugundua uvamizi wa kiwango cha mfumo inagharimu mamia ya dola kwa kila wakala na inaweza kununuliwa na mnunuzi ikiwa mnunuzi anahitaji kufuatilia baadhi ya nodi za biashara, bila kufuatilia mashambulizi ya mtandao.

1.5. Haja ya mifumo ya kugundua mashambulizi ya kiwango cha mtandao na mfumo

Suluhu zote mbili: IDS katika viwango vya mtandao na mfumo zina manufaa na manufaa yao ambayo yanakamilishana kikamilifu. Kwa hivyo kizazi kijacho cha IDS lazima kijumuishe mfumo jumuishi na vijenzi vya mtandao. Kuchanganya teknolojia hizi mbili kutaboresha kwa kiasi kikubwa upinzani wa mtandao dhidi ya mashambulizi na matumizi mabaya, kuwezesha kuimarisha sera za usalama na kuanzisha unyumbufu zaidi katika uendeshaji wa rasilimali za mtandao.

Kielelezo kilicho hapa chini kinaonyesha jinsi mbinu za ugunduzi wa uvamizi wa kiwango cha mfumo na kiwango cha mtandao huingiliana ili kuunda mfumo bora zaidi wa ulinzi wa mtandao. Baadhi ya matukio yanaweza tu kutambuliwa kwa kutumia mifumo ya mtandao. Wengine - kwa kutumia mfumo tu. Baadhi huhitaji aina zote mbili za ugunduzi wa shambulio ili kufikia utambuzi wa kuaminika.

Mtini.1. KATIKA mwingiliano wa mbinu za kutambua mashambulizi katika viwango vya mfumo na mtandao

1.6. Orodha ya mahitaji ya mifumo ya kutambua mashambulizi
kizazi kijacho

Vipengele vya Mifumo ya Kugundua Uingiliaji wa Kizazi Kijacho:

1. Uwezo wa kutambua mashambulizi katika kiwango cha mfumo na mtandao, kuunganishwa katika mfumo mmoja.

2. Dashibodi ya usimamizi iliyoshirikiwa na kiolesura thabiti cha usanidi wa bidhaa, sera ya usimamizi na onyesho la matukio ya kibinafsi, kutoka kwa mfumo na vipengele vya mtandao mifumo ya kugundua mashambulizi.

3. Hifadhidata ya tukio iliyojumuishwa.

4. Mfumo jumuishi wa kuzalisha ripoti.

5. Uwezekano wa uwiano wa tukio.

6. Usaidizi wa mtandaoni uliojumuishwa kwa majibu ya tukio.

7. Taratibu za ufungaji za umoja na thabiti.

8. Kuongeza uwezo wa kudhibiti matukio yako mwenyewe.

Katika robo ya nne ya 1998, toleo la 3.0 la RealSecureT lilitolewa, ambalo linakidhi mahitaji haya yote.

· Moduli ya ufuatiliaji ya RealSecure - hutambua mashambulizi katika kiwango cha mtandao Mitandao ya Ethernet, Ethaneti ya Haraka, FDDI na Pete ya Tokeni.

· RealSecure Agent - hutambua mashambulizi kwenye seva na vifaa vingine vya mfumo.

· RealSecure Manager - kiweko cha usimamizi ambacho hutoa usanidi wa moduli za ufuatiliaji na mawakala wa RealSecure na kujumuisha uchanganuzi wa wakati halisi wa trafiki ya mtandao na kumbukumbu za mfumo.

2. Dunia nzima imejaa mashambulizi

Ili kulinda dhidi ya aina mbalimbali za mashambulizi, unaweza kutumia mikakati miwili. Ya kwanza ni kununua mifumo inayopigiwa debe zaidi (ingawa sio bora kila wakati) ili kulinda dhidi ya kila aina ya shambulio linalowezekana. Njia hii ni rahisi sana, lakini inahitaji uwekezaji mkubwa wa kifedha. Hakuna mtumiaji mmoja wa nyumbani au hata mkuu wa shirika atafanya hivi. Kwa hivyo, mkakati wa pili hutumiwa kawaida, ambao una uchambuzi wa awali wa vitisho vinavyowezekana na uteuzi unaofuata wa njia za ulinzi dhidi yao.

Uchambuzi wa vitisho, au uchambuzi wa hatari, unaweza pia kufanywa kwa njia mbili. Njia ngumu, lakini yenye ufanisi zaidi ni kwamba kabla ya kuchagua vitisho vinavyowezekana zaidi, uchambuzi wa mfumo wa habari, habari iliyosindika ndani yake, programu na vifaa vinavyotumiwa, nk hufanyika. Hii itapunguza kwa kiasi kikubwa aina mbalimbali za mashambulizi yanayoweza kutokea na hivyo kuongeza ufanisi wa kuwekeza pesa katika bidhaa za usalama zilizonunuliwa. Hata hivyo, uchambuzi huo unahitaji muda, fedha na, muhimu zaidi, wataalam wenye ujuzi wanaofanya hesabu ya mtandao uliochambuliwa. Kampuni chache, achilia mbali watumiaji wa nyumbani, wanaweza kumudu kutumia njia hii. Nini cha kufanya? Unaweza kufanya uchaguzi wa zana za ulinzi kulingana na kile kinachoitwa vitisho vya kawaida, yaani, wale ambao ni wa kawaida. Licha ya ukweli kwamba baadhi ya vitisho vya asili kwa mfumo unaolindwa vinaweza kubaki bila kushughulikiwa, vingi vyavyo bado vitaangukia ndani ya mfumo ulioainishwa. Ni aina gani za vitisho na mashambulizi ni ya kawaida zaidi? Nakala hii imejitolea kujibu swali hili. Ili kufanya data iliyowasilishwa kuwa sahihi zaidi, nitatumia takwimu zilizopatikana kutoka kwa vyanzo mbalimbali.

Nambari, nambari, nambari ...

Nani mara nyingi hufanya uhalifu wa kompyuta na kufanya mashambulizi mbalimbali? Je, ni vitisho gani vya kawaida? Nitawasilisha data iliyopatikana na chanzo chenye mamlaka zaidi katika eneo hili - Taasisi ya Usalama wa Kompyuta (CSI) na kikundi cha mashambulizi ya kompyuta cha ofisi ya FBI huko San Francisco. Data hizi zilichapishwa Machi 2000 katika ripoti ya mwaka "2000 CSI/FBI Computer Crime and Security Survey." Kulingana na data hii:

· 90% ya waliohojiwa (mashirika makubwa na mashirika ya serikali) wamerekodi mashambulizi mbalimbali kwenye rasilimali zao za habari;

· 70% ya waliojibu walirekodi ukiukaji mkubwa wa sera za usalama, kama vile virusi, kunyimwa mashambulizi ya huduma, matumizi mabaya ya wafanyakazi, n.k.;

· 74% ya waliohojiwa walipata hasara kubwa ya kifedha kutokana na ukiukaji huu.

Hasara kutokana na ukiukaji wa sera ya usalama pia imeongezeka katika miaka michache iliyopita. Ikiwa mwaka wa 1997 kiasi cha hasara kilikuwa dola milioni 100, mwaka wa 1999 milioni 124, basi mwaka 2000 takwimu hii iliongezeka hadi dola milioni 266. Kiasi cha hasara kutokana na kukataa mashambulizi ya huduma ilifikia dola milioni 8.2 Data nyingine ya kuvutia ni pamoja na vyanzo vya mashambulizi, aina. ya mashambulizi ya kawaida na ukubwa wa hasara kutoka kwao.

Chanzo kingine chenye mamlaka - kituo cha uratibu cha CERT - pia kinathibitisha data hizi. Aidha, kwa mujibu wa data alizokusanya, ongezeko la matukio ya usalama linalingana na kuenea kwa mtandao.

Kuvutiwa na biashara ya mtandao kutaharakisha ukuaji huu katika miaka ijayo. Mwelekeo mwingine pia umezingatiwa. Katika miaka ya 80 na mwanzoni mwa miaka ya 90, washambuliaji wa nje walishambulia tovuti za mtandao kwa udadisi au kuonyesha ujuzi wao. Mashambulizi ya sasa mara nyingi hufuata malengo ya kifedha au kisiasa. Kulingana na wachambuzi wengi, idadi ya mafanikio ya kupenya katika mifumo ya habari mwaka 1999 pekee iliongezeka mara mbili ikilinganishwa na mwaka uliopita (kutoka 12 hadi 23%). Hali hii inaendelea katika 2000 na 2001.

Katika eneo hili pia kuna Takwimu za Kirusi. Na ingawa haijakamilika na, kulingana na wataalam wengi, inawakilisha tu ncha ya barafu, bado nitawasilisha takwimu hizi. Mnamo 2000, kulingana na Wizara ya Mambo ya Ndani, uhalifu wa kompyuta 1,375 ulisajiliwa. Ikilinganishwa na 1999, takwimu hii imeongezeka kwa zaidi ya mara 1.6. Takwimu kutoka kwa Idara ya Kupambana na Uhalifu katika Nyanja ya Teknolojia ya Juu ya Wizara ya Mambo ya Ndani ya Shirikisho la Urusi (Idara "R") zinaonyesha kuwa uhalifu mwingi - 584 wa jumla - unahusiana na ufikiaji haramu wa habari za kompyuta; Kesi 258 zilizohusika na kusababisha uharibifu wa mali kwa kutumia njia za kompyuta; Uhalifu 172 unahusishwa na uundaji na usambazaji wa virusi mbalimbali, au tuseme, "programu hasidi kwa kompyuta"; uhalifu 101 - kutoka kwa mfululizo "uzalishaji haramu au upatikanaji kwa madhumuni ya kuuza njia za kiufundi kwa risiti isiyo halali habari", 210 - udanganyifu kwa kutumia mitandao ya kompyuta na mawasiliano ya simu; 44 - ukiukaji wa sheria za uendeshaji wa kompyuta na mitandao yao.

3. Jinsi ya kujikinga na mashambulizi ya mbali kwenye mtandao?

Upekee wa Mtandao leo ni kwamba 99% ya rasilimali za habari za mtandao zinapatikana kwa umma. Ufikiaji wa mbali kwa rasilimali hizi unaweza kufanywa bila kujulikana na mtumiaji yeyote wa mtandao ambaye hajaidhinishwa. Mfano wa ufikiaji huo ambao haujaidhinishwa kwa rasilimali za umma ni kuunganisha kwa seva za WWW au FTP, ikiwa ufikiaji kama huo unaruhusiwa.

Baada ya kuamua ni rasilimali gani za mtandao ambazo mtumiaji anakusudia kufikia, ni muhimu kujibu swali lifuatalo: je, mtumiaji ataruhusu ufikiaji wa mbali kutoka kwa mtandao hadi rasilimali zake? Ikiwa sivyo, basi ni busara kutumia OS "mteja pekee" kama OS ya mtandao (kwa mfano, Windows "95 au NT Workstation), ambayo haina programu za seva ambazo hutoa ufikiaji wa mbali, na, kwa hivyo, ufikiaji wa mbali kwa hii. mfumo haiwezekani kwa kanuni, kwa kuwa haijatolewa katika programu (kwa mfano, Windows OS "95 au NT, ingawa na moja lakini: kwa kweli hakuna mfumo wa hizi. Seva za FTP, TELNET, WWW, nk, lakini hatupaswi kusahau juu ya uwezo uliojengwa wa kutoa ufikiaji wa mbali kwa mfumo wa faili, kinachojulikana. shiriki rasilimali. Na kukumbuka angalau nafasi ya ajabu ya Microsoft kuhusiana na kuhakikisha usalama wa mifumo yake, unahitaji kufikiria kwa uzito kabla ya kuchagua bidhaa za kampuni hii. Mfano wa hivi karibuni: programu imeonekana kwenye mtandao ambayo hutoa mshambuliaji na upatikanaji wa kijijini usioidhinishwa kwa mfumo wa faili wa Windows NT 4.0 OS!). Chaguo la mfumo wa uendeshaji wa mteja kwa kiasi kikubwa hutatua matatizo ya usalama kwa mtumiaji fulani (huwezi kupata rasilimali ambayo haipo tu!). Hata hivyo, katika kesi hii, utendaji wa mfumo huharibika. Hapa ni wakati muafaka kuunda, kwa maoni yetu, axiom ya msingi ya usalama:

Axiom ya usalama. Kanuni za ufikiaji, urahisi, kasi na utendaji wa mfumo wa kompyuta ni kinyume na kanuni za usalama wake.

Axiom hii, kimsingi, ni dhahiri: jinsi ndege inavyopatikana zaidi, rahisi, ya haraka na ya kazi nyingi, ni salama kidogo. Mifano mingi inaweza kutolewa. Kwa mfano, huduma ya DNS: rahisi, lakini hatari.

Hebu turudi kwenye chaguo la mtumiaji wa OS ya mtandao wa mteja. Hii, kwa njia, ni moja ya hatua za busara sana zinazoongoza kwa sera ya mtandao ya kujitenga. Sera hii ya usalama wa mtandao ni kutenga mfumo wa kompyuta yako kutoka kwa ulimwengu wa nje kabisa iwezekanavyo. Pia, mojawapo ya hatua za kuhakikisha sera hii ni, kwa mfano, matumizi ya mifumo ya Firewall, ambayo inakuruhusu kuunda sehemu maalum iliyolindwa (kwa mfano, mtandao wa kibinafsi), iliyotenganishwa na mtandao wa kimataifa. Bila shaka, hakuna kitu kinachokuzuia kuchukua sera hii ya kutengwa kwa mtandao hadi kufikia hatua ya upuuzi - futa tu kebo ya mtandao (kutengwa kabisa na ulimwengu wa nje!). Usisahau, hii pia ni "suluhisho" kwa matatizo yote na mashambulizi ya mbali na usalama wa mtandao (kutokana na kutokuwepo kwao kabisa).

Kwa hiyo, basi mtumiaji wa Intaneti aamue kutumia tu OS ya mtandao wa mteja kufikia mtandao na kuitumia tu kufanya ufikiaji usioidhinishwa. Je, masuala ya usalama yametatuliwa? Hapana kabisa! Kila kitu kingekuwa sawa ikiwa sio mbaya sana. Kwa shambulio la Kunyimwa Huduma, aina ya ufikiaji inayotumiwa na mtumiaji wala aina ya Mfumo wa Uendeshaji wa mtandao haijalishi kabisa (ingawa OS ya mteja inapendekezwa kwa mtazamo wa ulinzi dhidi ya shambulio hilo). Shambulio hili, likitumia dosari za kimsingi za usalama katika itifaki na miundombinu ya Mtandao, hushambulia mfumo wa uendeshaji wa mtandao kwenye seva pangishi ya mtumiaji kwa lengo moja pekee - kutatiza utendakazi wake. Kwa mashambulizi ya njia ya uwongo ya ICMP yenye lengo la kunyimwa huduma, Windows 95 au Windows NT ndizo shabaha zinazojaribu zaidi. Katika hali hii, mtumiaji anaweza tu kutumaini kwamba mwenyeji wake mnyenyekevu hana maslahi kwa mtu yeyote. mvamizi anayeweza kutatiza utendakazi wake. kwa sababu tu ya kutaka kusababisha maovu.

3.1. Mbinu za utawala za ulinzi dhidi ya mashambulizi ya mbali kwenye mtandao

Hatua sahihi zaidi katika mwelekeo huu itakuwa kukaribisha mtaalamu usalama wa habari, ambaye pamoja nawe utajaribu kutatua matatizo mbalimbali ili kuhakikisha kiwango kinachohitajika cha usalama kwa ndege yako iliyosambazwa. Hii ni kazi ngumu sana, kwa suluhisho ambalo ni muhimu kuamua ni nini (orodha ya vitu vinavyodhibitiwa na rasilimali za RVS), kutoka kwa nini (uchambuzi wa vitisho vinavyowezekana kwa RVS hii) na jinsi (mahitaji ya kukuza, kufafanua). sera ya usalama na kuendeleza hatua za utawala na maunzi-programu ili kuhakikisha kwa vitendo, sera ya usalama iliyotengenezwa) inalinda.

Labda rahisi zaidi na ya bei nafuu ni mbinu za utawala za ulinzi dhidi ya ushawishi wa uharibifu wa habari.

3.1.1. Jinsi ya kujikinga na uchambuzi wa trafiki ya mtandao?

Kuna shambulio ambalo huruhusu kidukuzi kunasa taarifa zozote zinazobadilishwa kati ya watumiaji wa mbali kwa kusikiliza kiprogramu chaneli ya upitishaji ujumbe kwenye mtandao ikiwa ni ujumbe ambao haujasimbwa tu ndio hupitishwa kwenye chaneli. Inaweza pia kuonyeshwa kuwa itifaki za msingi za utumiaji wa ufikiaji wa mbali wa TELNET na FTP hazitoi ulinzi wa kimsingi wa kriptografia hata wa vitambulishi vya watumiaji (majina) na vithibitishaji (nenosiri) zinazotumwa kwenye mtandao. Kwa hivyo, wasimamizi wa mtandao wanaweza kushauriwa waziwazi kutoruhusu utumizi wa itifaki hizi za msingi kutoa rimoti. iliyoidhinishwa ufikiaji wa rasilimali za mifumo yao na kuzingatia uchanganuzi wa trafiki ya mtandao kama tishio lililopo ambalo haliwezi kuondolewa, lakini utekelezaji wake unaweza kufanywa kutokuwa na maana kwa kutumia algoriti kali za kriptografia kwa kulinda mtiririko wa IP.

3.1.2. Jinsi ya kujikinga na seva bandia ya ARP?

Ikiwa mfumo wa uendeshaji wa mtandao hauna taarifa kuhusu mawasiliano kati ya anwani za IP na Ethaneti za wapangishi ndani ya sehemu moja ya mtandao wa IP, itifaki hii inakuruhusu kutuma ombi la ARP la utangazaji kutafuta anwani ya Ethaneti inayohitajika, ambayo mshambuliaji anaweza kutuma uwongo. majibu, na , katika siku zijazo, trafiki yote katika kiwango cha kiungo itazuiwa na mshambulizi na itapitia seva ya uongo ya ARP. Kwa wazi, ili kuondokana na shambulio hili, ni muhimu kuondokana na sababu kwa nini inaweza kufanyika. Sababu kuu ya mafanikio ya shambulio hili la mbali ni ukosefu wa taarifa muhimu Mfumo wa Uendeshaji wa kila seva pangishi hujua anwani za IP na Ethaneti zinazolingana za wapangishi wengine wote ndani ya sehemu fulani ya mtandao. Kwa hivyo, suluhisho rahisi zaidi itakuwa kwa msimamizi wa mtandao kuunda jedwali la ARP tuli kwa namna ya faili (kawaida /etc/thers katika UNIX OS), ambapo taarifa husika ya anwani lazima iingizwe. Faili hii imewekwa kwenye kila seva pangishi ndani ya sehemu, na, kwa hiyo, Mfumo wa Uendeshaji wa mtandao hauhitaji tena kutumia utafutaji wa mbali wa ARP.

3.1.3. Jinsi ya kujikinga na seva ya DNS bandia?

Kutumia huduma ya DNS kwenye Mtandao katika hali yake ya sasa kunaweza kuruhusu kivunja vunja kupata udhibiti wa kimataifa juu ya miunganisho kwa kuweka njia isiyo sahihi kupitia seva pangishi ya cracker - seva ya DNS ya uwongo. Mashambulizi haya ya mbali, kulingana na uwezekano wa udhaifu wa huduma ya DNS, inaweza kusababisha matokeo mabaya kwa idadi kubwa ya watumiaji wa Intaneti na kusababisha ukiukaji mkubwa wa usalama wa habari wa mtandao huu wa kimataifa. Aya mbili zinazofuata zinapendekeza mbinu zinazowezekana za usimamizi za kuzuia au kuzuia shambulio hili la mbali kwa wasimamizi na watumiaji wa mtandao na kwa wasimamizi wa seva za DNS.

a) Msimamizi wa mtandao anawezaje kujikinga na seva ya uwongo ya DNS?

Jibu fupi kwa swali hili ni hapana. Hakuna ulinzi wa kiutawala au wa kiprogramu dhidi ya shambulio la toleo lililopo la huduma ya DNS. Suluhisho bora kutoka kwa mtazamo wa usalama litakuwa kutotumia huduma ya DNS kwenye sehemu yako salama hata kidogo! Bila shaka, kuacha kabisa matumizi ya majina wakati wa kufikia wapangishi itakuwa ngumu sana kwa watumiaji. Kwa hivyo, tunaweza kupendekeza suluhisho lifuatalo la maelewano: tumia majina, lakini uachane na utaratibu wa kuangalia wa DNS wa mbali. Ulikisia sawa, hii ni kurudi kwa muundo wa kabla ya DNS na seva maalum za DNS. Kisha kwenye kila mashine kwenye mtandao kulikuwa wenyeji faili ambayo ilikuwa na habari kuhusu majina yanayolingana na anwani za IP za majeshi yote kwenye mtandao. Kwa wazi, leo msimamizi anaweza kuingiza habari kwenye faili kama hiyo tu kuhusu seva za mtandao zinazotembelewa mara nyingi na watumiaji wa sehemu fulani. Kwa hiyo, tumia katika mazoezi uamuzi huu ngumu sana na inaonekana si ya kweli (nini, kwa mfano, tufanye nini na vivinjari vinavyotumia URL zilizo na majina?).

Ili kufanya shambulio hili la mbali kuwa gumu zaidi, unaweza kupendekeza kwamba wasimamizi watumie itifaki ya TCP kwa huduma ya DNS badala ya itifaki ya UDP, ambayo imewekwa kwa chaguo-msingi (ingawa ni mbali na dhahiri kutoka kwa nyaraka jinsi ya kuibadilisha). Hii itafanya iwe vigumu zaidi kwa mshambulizi kutuma jibu la uwongo la DNS kwa mwenyeji bila kupokea ombi la DNS.

Hitimisho la kukata tamaa kwa ujumla ni hili: kwenye mtandao, wakati wa kutumia zilizopo Matoleo ya huduma ya DNS haipo suluhisho linalokubalika la kulinda dhidi ya seva ya uwongo ya DNS (na huwezi kukataa, kama ilivyo kwa ARP, na ni hatari kutumia)!

b) Je, msimamizi wa seva ya DNS anawezaje kujikinga na seva ya uwongo ya DNS?

Jibu fupi kwa swali hili ni, tena, hakuna njia. Njia pekee ya kufanya mashambulizi haya ya mbali kuwa magumu zaidi ni kutumia TCP pekee badala ya UDP kuwasiliana na wapangishi na seva zingine za DNS. Walakini, hii itafanya shambulio kuwa ngumu zaidi - usisahau kuhusu uwezekano wa kutekwa kwa ombi la DNS na uwezo wa kutabiri thamani ya awali ya TCP ISN.

Kwa kumalizia, tunaweza kupendekeza kwamba Mtandao wote uhamie haraka hadi kwenye toleo jipya, lililo salama zaidi la huduma ya DNS, au upitishe kiwango kimoja cha itifaki salama. Ni muhimu tu kufanya mabadiliko haya, licha ya gharama zote kubwa, vinginevyo Mtandao unaweza kupigwa magoti mbele ya majaribio yanayoongezeka ya kukiuka usalama wake kwa kutumia huduma hii!

3.1.4. Jinsi ya kujikinga na kuweka njia ya uwongo wakati wa kutumia itifaki ya ICMP?

Shambulio hilo, ambalo lilijumuisha kutuma ujumbe wa uwongo wa ICMP Uelekezaji Upya kwa mwenyeji kuhusu kubadilisha njia ya asili, ulisababisha kuzuiwa kwa taarifa na wavamizi na kutatiza kwa mwenyeji aliyeshambuliwa. Ili kulinda dhidi ya shambulio hili la mbali, lazima uchuje ujumbe huu (kwa kutumia Firewall au kipanga njia cha kichujio) ili kuuzuia kufikia mfumo wa mwisho, au uchague ipasavyo Mfumo wa Uendeshaji wa mtandao ambao utapuuza ujumbe huu. Hata hivyo, kwa kawaida hakuna njia ya utawala ya kushawishi OS ya mtandao ili kuizuia kubadilisha njia na kujibu ujumbe fulani. Njia pekee, kwa mfano katika kesi ya Linux au FreeBSD, ni kubadilisha msimbo wa chanzo na kukusanya kernel ya OS. Kwa wazi, njia hiyo, ya kigeni kwa wengi, inawezekana tu kwa mifumo ya uendeshaji ambayo inasambazwa kwa uhuru pamoja na msimbo wa chanzo. Kawaida, katika mazoezi, hakuna njia nyingine ya kujua majibu ya OS unayotumia kwa ujumbe wa Uelekezaji Upya wa ICMP kuliko kutuma ujumbe huu na kuona matokeo yatakuwa nini. Majaribio yameonyesha kuwa ujumbe huu hukuruhusu kubadilisha uelekezaji kwenye Linux 1.2.8, Windows "95 na Windows NT 4.0. Ikumbukwe kwamba bidhaa Microsoft hazijalindwa hasa kutokana na mashambulizi ya mbali yanayowezekana katika mitandao ya IP. Kwa hivyo, inaonekana kuwa haifai kutumia data ya OS katika sehemu iliyolindwa ya mtandao wa IP. Huu utakuwa uamuzi wa kiutawala wa kulinda sehemu ya mtandao dhidi ya shambulio hili la mbali.

3.1.5. Jinsi ya kujikinga na kunyimwa huduma?

Hakuna na haziwezi kukubalika mbinu za ulinzi dhidi ya kunyimwa huduma katika kiwango kilichopo cha Mtandao cha IPv4. Hii ni kutokana na ukweli kwamba katika kiwango hiki haiwezekani kudhibiti njia ya ujumbe. Kwa hiyo, haiwezekani kuhakikisha udhibiti wa kuaminika miunganisho ya mtandao, kwa kuwa somo moja la mwingiliano wa mtandao lina fursa ya kuchukua idadi isiyo na kikomo ya njia za mawasiliano na kitu cha mbali na wakati huo huo kubaki bila kujulikana. Kwa sababu ya hili, seva yoyote kwenye mtandao inaweza kupooza kabisa kwa kutumia mashambulizi ya mbali.

Kitu pekee ambacho kinaweza kupendekezwa ili kuongeza kuegemea kwa mfumo chini ya shambulio hili ni kutumia kompyuta zenye nguvu zaidi iwezekanavyo. Vipi idadi kubwa zaidi na mzunguko wa uendeshaji wa wasindikaji, kiasi kikubwa cha RAM, operesheni ya kuaminika zaidi ya OS ya mtandao itakuwa wakati "dhoruba" iliyoelekezwa ya maombi ya uwongo ya kuunda uunganisho inaipiga. Kwa kuongeza, lazima utumie mifumo ya uendeshaji inayolingana na nguvu yako ya kompyuta na foleni ya ndani ambayo inaweza kushughulikia idadi kubwa ya maombi ya uunganisho. Baada ya yote, ikiwa wewe, kwa mfano, usakinisha mfumo wa uendeshaji wa Linux au Windows NT kwenye kompyuta kubwa, ambapo urefu wa foleni kwa maombi yaliyosindika wakati huo huo ni karibu 10, na muda wa kufuta foleni ni dakika kadhaa, basi, licha ya nguvu zote za kompyuta. kompyuta, OS itapooza kabisa na mshambuliaji.

3.1.6. Jinsi ya kujilinda dhidi ya uingizwaji wa mmoja wa wahusika wakati wa kuingiliana kwa kutumia itifaki za kimsingi za familia ya TCP/IP

Kama ilivyoelezwa hapo awali, pekee msingi Itifaki ya familia ya TCP/IP, ambayo awali hutoa kazi ya kuhakikisha usalama wa uunganisho na wanachama wake, ni itifaki ya safu ya usafiri - itifaki ya TCP. Kama ilivyo kwa itifaki za msingi za kiwango cha maombi: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, hakuna hata mmoja wao hutoa usalama wa ziada wa unganisho katika kiwango chao na kuacha suluhisho la shida zote za kuhakikisha usalama wa unganisho kwenye safu ya chini ya usafirishaji. itifaki - TCP. Walakini, kukumbuka shambulio linalowezekana kwenye unganisho la TCP, lililojadiliwa katika aya ya 4.5, ambapo ilibainika kuwa ikiwa mshambuliaji yuko katika sehemu hiyo hiyo kwa madhumuni ya shambulio, kimsingi haiwezekani kulinda dhidi ya uporaji wa mmoja wa waliojiandikisha. ya unganisho la TCP, na katika kesi ya kuwa katika sehemu tofauti, kwa sababu ya uwezekano wa utabiri wa kihesabu wa kitambulisho cha unganisho cha TCP ISN, uingizwaji wa mmoja wa waliojiandikisha pia inawezekana, ni rahisi kuhitimisha kwamba wakati wa kutumia msingi. itifaki za familia ya TCP/IP, karibu haiwezekani kuhakikisha usalama wa unganisho! Hii ni kwa sababu ya ukweli kwamba, kwa bahati mbaya, itifaki zote za kimsingi za Mtandao zimepitwa na wakati kutoka kwa mtazamo wa usalama wa habari.

Kitu pekee ambacho kinaweza kupendekezwa kwa wasimamizi wa mtandao kulinda pekee kutoka kwa shambulio la sehemu kubwa kwenye miunganisho - tumia itifaki ya TCP na mifumo ya uendeshaji ya mtandao kama itifaki ya msingi "salama", ambayo thamani ya awali ya kitambulisho cha muunganisho wa TCP inatolewa kwa nasibu (algorithm nzuri ya kizazi cha uwongo-random inatumika katika matoleo ya hivi karibuni Mfumo wa Uendeshaji wa FreeBSD).

3.2. Mbinu za programu na vifaa vya ulinzi dhidi ya mashambulizi ya mbali kwenye mtandao

Programu na maunzi kwa ajili ya kuhakikisha usalama wa habari wa mawasiliano katika mitandao ya kompyuta ni pamoja na:

• encrypters ya vifaa vya trafiki ya mtandao;
• Mbinu ya Firewall, kutekelezwa kwa misingi ya programu na vifaa;
• salama itifaki za mtandao za crypto;
• wachambuzi wa trafiki wa mtandao wa programu na vifaa;
• salama mifumo ya uendeshaji ya mtandao.

Kuna kiasi kikubwa cha fasihi iliyotolewa kwa zana hizi za usalama zinazokusudiwa kutumika kwenye mtandao (katika kipindi cha miaka miwili iliyopita, makala juu ya mada hii yanaweza kupatikana katika karibu kila toleo la gazeti lolote la kompyuta).

Ifuatayo, tutaelezea, kwa ufupi iwezekanavyo, ili tusirudia habari inayojulikana kwa kila mtu, hatua hizi za usalama zinazotumiwa kwenye mtandao. Kwa kufanya hivyo, tunafuata malengo yafuatayo: kwanza, hebu kwa mara nyingine tena turudi kwenye hadithi ya "ulinzi kamili" ambayo mifumo ya Firewall inadaiwa kutoa, kwa wazi shukrani kwa juhudi za wauzaji wao; pili, tutalinganisha matoleo yaliyopo ya itifaki za crypto zinazotumiwa kwenye mtandao na kutoa tathmini, kwa asili, muhimu hali katika eneo hili; na tatu, tutawajulisha wasomaji uwezekano wa ulinzi kwa kutumia mfuatiliaji wa usalama wa mtandao, iliyoundwa kufuatilia kwa nguvu hali zinazotokea katika sehemu ya mtandao wa IP iliyolindwa, ikionyesha kwamba moja ya mashambulizi ya mbali yaliyoelezwa katika Sura ya 4 yamefanywa kwenye sehemu hii. .

3.2.1. Mbinu ya Firewall kama zana kuu ya maunzi na programu ya kutekeleza sera ya usalama ya mtandao katika sehemu maalum ya mtandao wa IP

Kwa ujumla, mbinu ya Firewall inatekeleza kazi kuu tatu zifuatazo:

1. Uchujaji wa ngazi mbalimbali wa trafiki ya mtandao.

Kuchuja kawaida hufanywa katika tabaka tatu za OSI:

mtandao (IP);

usafiri (TCP, UDP);

programu (FTP, TELNET, HTTP, SMTP, nk).

Uchujaji wa trafiki ya mtandao ndio kazi kuu ya mifumo ya Firewall na inaruhusu msimamizi wa usalama wa mtandao kutekeleza sera muhimu ya usalama wa mtandao katika sehemu maalum ya mtandao wa IP, ambayo ni, kwa kusanidi Firewall ipasavyo, unaweza kuruhusu au kukataa watumiaji ufikiaji kutoka kwa mtandao wa nje. mtandao kwa huduma zinazolingana za mwenyeji au kwa wapangishi walio katika sehemu iliyolindwa, na vile vile ufikiaji wa mtumiaji kutoka kwa mtandao wa ndani hadi kwa rasilimali zinazolingana za mtandao wa nje. Mfano unaweza kuchorwa na msimamizi wa eneo la OS, ambaye, ili kutekeleza sera ya usalama katika mfumo, anapeana uhusiano unaofaa kati ya masomo (watumiaji) na vitu vya mfumo (faili, kwa mfano), ambayo inafanya uwezekano wa kuweka kikomo. upatikanaji wa masomo ya mfumo kwa vitu vyake kwa mujibu wa haki za kufikia zilizotajwa na msimamizi. Hoja hiyo hiyo inatumika kwa uchujaji wa Firewall: mada za mwingiliano zitakuwa anwani za IP za seva pangishi za watumiaji, na vitu ambavyo ufikiaji lazima uzuiliwe vitakuwa anwani za IP za seva pangishi zinazotumiwa. itifaki za usafiri na huduma za ufikiaji wa mbali.

2. Mpango wa seva mbadala wenye utambulisho wa ziada na uthibitishaji wa watumiaji kwenye seva pangishi ya Firewall.

Mpango wa proksi huruhusu, kwanza, wakati wa kufikia sehemu ya mtandao iliyolindwa na Firewall, kutekeleza kitambulisho cha ziada na uthibitishaji juu yake. mtumiaji wa mbali na pili, ni msingi wa kuunda mitandao ya kibinafsi na anwani za IP. Maana ya mpango wa proksi ni kuunda muunganisho na mahali pa mwisho kupitia seva mbadala ya kati (proksi kutoka kwa mamlaka ya Kiingereza) kwenye seva pangishi ya Firewall. Utambulisho wa ziada wa mteja unaweza kufanywa kwenye seva hii ya proksi.

3. Uundaji wa mitandao ya kibinafsi (Mtandao wa Kibinafsi wa Kibinafsi - PVN) na anwani za IP "virtual" (NAT - Tafsiri ya Anwani ya Mtandao).

Ikiwa msimamizi wa usalama wa mtandao anaona kuwa ni vyema kuficha topolojia ya kweli ya mtandao wake wa ndani wa IP, basi anaweza kupendekezwa kutumia mifumo ya Firewall ili kuunda mtandao wa kibinafsi (mtandao wa PVN). Wapangishi katika mtandao wa PVN hupewa anwani zozote za IP "halisi". Ili kushughulikia mtandao wa nje (kupitia Firewall), lazima utumie seva mbadala zilizoelezwa hapo juu kwenye seva pangishi ya Firewall, au utumie. mifumo maalum uelekezaji (uelekezaji), kwa njia ambayo kushughulikia kwa nje kunawezekana. Hii hutokea kwa sababu anwani pepe ya IP inayotumiwa katika mtandao wa ndani wa PVN kwa wazi haifai kwa anwani za nje (anwani ya nje inawashughulikia waliojisajili walio nje ya mtandao wa PVN). Kwa hivyo, seva ya proksi au zana ya kuelekeza lazima iwasiliane na waliojisajili kutoka kwa mtandao wa nje kutoka kwa anwani yake halisi ya IP. Kwa njia, mpango huu ni rahisi ikiwa umepewa idadi isiyo ya kutosha ya anwani za IP ili kuunda mtandao wa IP (katika kiwango cha IPv4 hii hutokea wakati wote, ili kuunda mtandao kamili wa IP kwa kutumia mpango wa wakala, tu. IP moja iliyotengwa inatosha anwani za seva mbadala).

Kwa hivyo, kifaa chochote kinachotekeleza angalau mojawapo ya kazi hizi za mbinu ya Firewall ni kifaa cha Firewall. Kwa mfano, hakuna kitu kinachokuzuia kutumia kompyuta iliyo na FreeBSD ya kawaida au Linux OS kama seva pangishi ya Firewall, kokwa ya OS ambayo lazima iundwe ipasavyo. Firewall ya aina hii itatoa tu uchujaji wa ngazi mbalimbali wa trafiki ya IP. Jambo jingine ni kwamba complexes za Firewall zenye nguvu zinazotolewa kwenye soko, zilizofanywa kwa misingi ya kompyuta au mini-kompyuta, kwa kawaida hutekeleza kazi zote za njia ya Firewall na zinafanya kazi kikamilifu mifumo ya Firewall. Kielelezo kifuatacho kinaonyesha sehemu ya mtandao iliyotenganishwa na mtandao wa nje na seva pangishi ya Firewall inayofanya kazi kikamilifu.

Mchele. 2. Mchoro wa jumla wa seva pangishi ya Firewall inayofanya kazi kikamilifu.

Hata hivyo, wasimamizi wa mtandao wa IP, baada ya kushindwa na utangazaji wa mifumo ya Firewall, hawapaswi kukosea kuwa Firewall ni dhamana ya ulinzi kamili dhidi ya mashambulizi ya mbali kwenye mtandao. Ngome si zana ya usalama sana kwani ni fursa ya kutekeleza sera ya mtandao katikati ya kudhibiti ufikiaji wa mbali kwa rasilimali zinazopatikana kwenye mtandao wako. Ndio, ikiwa, kwa mfano, kwa kwa mwenyeji huyu ufikiaji wa mbali wa TELNET umepigwa marufuku, basi Firewall itazuia ufikiaji huu. Lakini ukweli ni kwamba mashambulizi mengi ya mbali yana malengo tofauti kabisa (hakuna uhakika katika kujaribu kupata aina fulani ya upatikanaji ikiwa ni marufuku na mfumo wa Firewall). Ni shambulio gani kati ya shambulio la mbali linalozingatiwa linaweza kuzuia Firewall? Uchambuzi wa trafiki ya mtandao? Ni wazi sivyo! Seva ya Uongo ya ARP? Ndio na hapana (sio lazima kabisa kutumia Firewall kwa ulinzi). Seva ya DNS isiyo ya kweli? Hapana, kwa bahati mbaya, Firewall sio msaada wako hapa. Je, unalazimisha njia ya uwongo kwa kutumia ICMP? Ndiyo, Firewall inaweza kuzima shambulio hili kwa urahisi kwa kuchuja ujumbe wa ICMP (ingawa kipanga njia cha kuchuja, kama vile Cisco, kitatosha). Ungependa kubadilisha mojawapo ya mada za muunganisho wa TCP? Jibu ni hasi; Firewall haina uhusiano wowote nayo. Kutatiza mwenyeji kwa kuunda dhoruba iliyoelekezwa ya maombi ya uwongo au kufurika kwenye foleni ya ombi? Katika kesi hii, kutumia Firewall kutafanya mambo kuwa mabaya zaidi. Ili kuzima (kukatwa kutoka kwa ulimwengu wa nje) majeshi yote ndani ya sehemu iliyolindwa na mfumo wa Firewall, mshambuliaji anahitaji tu kushambulia Firewall moja, na sio majeshi kadhaa (hii inaelezewa kwa urahisi na ukweli kwamba uunganisho wa majeshi ya ndani. na ulimwengu wa nje inawezekana tu kupitia Firewall).

haitoshi hata kidogo

Kutoka kwa yote hapo juu, haifuati kabisa kwamba matumizi ya mifumo ya Firewall haina maana kabisa. Hapana, kwa sasa hakuna njia mbadala ya mbinu hii (haswa kama mbinu!). Hata hivyo, lazima tuelewe wazi na kukumbuka kusudi lake kuu. Inaonekana kwetu kwamba matumizi ya mbinu ya Firewall ili kuhakikisha usalama wa mtandao ni muhimu, lakini haitoshi hata kidogo hali, na usipaswi kudhani kuwa kwa kusanidi Firewall, utasuluhisha mara moja shida zote na usalama wa mtandao na uondoe mashambulio yote ya mbali kutoka kwa Mtandao. Mtandao, ambao umeoza kutoka kwa mtazamo wa usalama, hauwezi kulindwa na Firewall yoyote!

3.2.2. Mbinu za ulinzi wa programu zinazotumiwa kwenye mtandao

Mbinu za ulinzi wa programu kwenye mtandao ni pamoja na, kwanza kabisa, itifaki za crypto salama, na matumizi ambayo inakuwa inawezekana kulinda uunganisho kwa uaminifu. Aya inayofuata itajadili mbinu ambazo zipo sasa kwenye mtandao na itifaki kuu za crypto ambazo tayari zimetengenezwa.

Darasa jingine la mbinu za programu za kulinda dhidi ya mashambulizi ya mbali ni pamoja na programu zilizopo leo, lengo kuu ambalo ni kuchambua trafiki ya mtandao kwa uwepo wa moja ya mashambulizi ya kijijini yanayojulikana.

a) SKIP teknolojia na itifaki za crypto SSL, S-HTTP kama njia kuu ya kulinda muunganisho na data iliyopitishwa kwenye Mtandao.

Moja ya sababu kuu za mafanikio ya mashambulizi ya mbali kwenye ndege iliyosambazwa iko katika matumizi ya itifaki za kubadilishana mtandao ambazo haziwezi kutambua kwa uhakika vitu vya mbali au kulinda uhusiano na data iliyopitishwa juu yake. Kwa hiyo, ni kawaida kabisa kwamba wakati wa kufanya kazi kwa mtandao, salama mbalimbali itifaki za mtandao, kwa kutumia ufunguo wa siri na wa ufunguo wa umma. Usimbaji fiche wa kawaida wenye algoriti za ulinganifu wa kriptografia huchukulia kuwa pande zinazotuma na kupokea zina funguo linganifu (zinazofanana) za kusimba na kusimbua ujumbe. Funguo hizi zinapaswa kusambazwa mapema kati ya idadi isiyo na kikomo ya waliojiandikisha, ambayo katika cryptography inaitwa shida ya kawaida ya usambazaji wa ufunguo wa tuli. Ni dhahiri kwamba matumizi ya cryptography ya classical na funguo za ulinganifu inawezekana tu kwenye seti ndogo ya vitu. Kwenye mtandao, ni wazi kuwa haiwezekani kutatua tatizo la usambazaji wa ufunguo wa tuli kwa watumiaji wake wote. Walakini, itifaki ya kwanza ya ubadilishanaji salama kwenye Mtandao ilikuwa itifaki ya Kerberos, kulingana na usambazaji tuli wa funguo kwa idadi maalum ya waliojiandikisha. Huduma zetu za kijasusi zinalazimika kufuata njia sawa, kwa kutumia kriptografia ya ulinganifu wa kawaida, wakati wa kuunda itifaki zao salama za crypto kwa Mtandao. Hii inafafanuliwa na ukweli kwamba kwa sababu fulani bado hakuna algorithm iliyoidhinishwa ya cryptographic na ufunguo wa umma. Kila mahali ulimwenguni, viwango sawa vya usimbuaji vimepitishwa kwa muda mrefu na kuthibitishwa, lakini sisi, inaonekana, tunaenda tena kwa njia nyingine!

Kwa hivyo, ni wazi kwamba ili kutoa ulinzi kwa seti nzima ya watumiaji wa mtandao, na sio kwa sehemu ndogo yake, ni muhimu kutumia funguo zinazozalishwa kwa nguvu katika mchakato wa kuunda uhusiano wa kawaida wakati wa kutumia ufunguo wa umma. kriptografia. Ifuatayo, tutaangalia mbinu kuu za sasa na itifaki zinazotoa usalama wa uunganisho.

RUKA(Secure Key Internet Protocol) teknolojia ni kiwango cha kuambatanisha pakiti za IP, ambayo inaruhusu, katika kiwango kilichopo cha IPv4, kulinda muunganisho na data inayotumwa juu yake katika kiwango cha mtandao. Hii inafanikiwa kama ifuatavyo: pakiti ya SKIP ni pakiti ya kawaida ya IP, uwanja wa data ambao ni kichwa cha SKIP cha umbizo lililoainishwa maalum na cryptogram (data iliyosimbwa). Muundo huu wa pakiti ya SKIP huiruhusu kutumwa bila mshono kwa mpangishi yeyote kwenye Mtandao (ushughulikiaji wa mtandao hutokea kwa kutumia kichwa cha kawaida cha IP kwenye pakiti ya SKIP). Mpokeaji wa mwisho wa pakiti ya SKIP, kulingana na algorithm iliyotanguliwa na watengenezaji, hutenganisha cryptogram na kuunda pakiti ya kawaida ya TCP au UDP, ambayo hupitishwa kwa moduli ya kawaida inayofanana (TCP au UDP) ya kernel ya mfumo wa uendeshaji. Kimsingi, hakuna kinachomzuia msanidi programu kuunda kichwa chake cha asili, tofauti na kichwa cha SKIP, kulingana na mpango huu.

S-HTTP(Secure HTTP) ni itifaki salama ya HTTP iliyotengenezwa na Enterprise Integration Technologies (EIT) mahususi kwa Wavuti. Itifaki ya S-HTTP inaruhusu ulinzi wa kriptografia unaotegemewa pekee wa hati za HTTP za seva ya Wavuti na hufanya kazi katika kiwango cha utumizi cha muundo wa OSI. Kipengele hiki cha itifaki ya S-HTTP kinaifanya kuwa njia maalum kabisa ya kulinda uunganisho, na, kwa sababu hiyo, haiwezekani kuitumia kulinda itifaki nyingine zote za maombi (FTP, TELNET, SMTP, nk). Kwa kuongezea, hakuna vivinjari vikubwa vya Wavuti vilivyopo leo (si Netscape Navigator 3.0 wala Microsoft Explorer 3.0) vinavyotumia itifaki hii.

SSL(Safu ya Soketi Salama) - iliyotengenezwa na Netscape - itifaki ya usalama ya uunganisho wa ulimwengu wote inayofanya kazi katika kiwango cha kikao cha OSI. Itifaki hii, kwa kutumia kriptografia ya ufunguo wa umma, ni leo, kwa maoni yetu, chombo pekee cha ulimwengu ambacho hukuruhusu kupata kiunganisho chochote kwa kutumia itifaki yoyote ya programu (DNS, FTP, TELNET, SMTP, n.k.). Hii ni kutokana na ukweli kwamba SSL, tofauti na S-HTTP, inafanya kazi kwenye safu ya kikao cha kati cha OSI (kati ya usafiri - TCP, UDP - na maombi - FTP, TELNET, nk). Katika kesi hii, mchakato wa kuunda muunganisho halisi wa SSL hufanyika kulingana na mpango wa Diffie na Hellman (kifungu cha 6.2), ambacho hukuruhusu kukuza ufunguo wa kikao sugu wa crypto, ambao hutumiwa baadaye na waliojiandikisha kwa unganisho la SSL kusimba kwa njia fiche inayopitishwa. ujumbe. Itifaki ya SSL leo imechukua sura kama kiwango rasmi cha usalama cha miunganisho ya HTTP, yaani, kulinda seva za Wavuti. Inaungwa mkono, kwa kawaida, na Netscape Navigator 3.0 na, isiyo ya kawaida, na Microsoft Explorer 3.0 (kumbuka vita vikali vya kivinjari kati ya Netscape na Microsoft). Bila shaka, ili kuanzisha muunganisho wa SSL na seva ya Wavuti, unahitaji pia kuwa na seva ya Wavuti inayoauni SSL. Matoleo kama haya ya seva za Wavuti tayari yapo (SSL-Apache, kwa mfano). Katika kuhitimisha mazungumzo kuhusu itifaki ya SSL, mtu hawezi kusaidia lakini kumbuka ukweli ufuatao: Sheria za Marekani hadi hivi karibuni zilipiga marufuku usafirishaji wa mifumo ya crypto na urefu muhimu wa bits zaidi ya 40 (iliongezeka hivi karibuni hadi bits 56). Kwa hivyo katika matoleo yaliyopo vivinjari hutumia vitufe vya 40-bit. Wanachambuzi kupitia majaribio waligundua hilo katika toleo lililopo Itifaki ya SSL usimbaji fiche kwa kutumia kitufe cha 40-bit sio ulinzi wa kuaminika kwa ujumbe unaopitishwa kwenye mtandao, kwani kwa utafutaji rahisi (mchanganyiko 2-40) ufunguo huu huchaguliwa kwa muda kutoka 1.5 (kwenye kompyuta kuu ya Silicon Graphics) hadi siku 7 (katika mchakato wa kuhesabu tulitumia vituo vya kazi 120 na kompyuta ndogo kadhaa).

Kwa hiyo, ni dhahiri kwamba matumizi makubwa ya itifaki hizi za kubadilishana salama, hasa SSL (bila shaka, na urefu muhimu wa bits zaidi ya 40), itaweka kizuizi cha kuaminika katika njia ya kila aina ya mashambulizi ya mbali na itakuwa ngumu sana. maisha ya crackers duniani kote. Walakini, janga zima la hali ya leo na kuhakikisha usalama kwenye Mtandao ni kwamba hadi sasa hakuna itifaki yoyote iliyopo ya crypto (na tayari kuna nyingi kati yao) imechukua sura kama kiwango sare ulinzi wa uunganisho, ambao ungeungwa mkono na watengenezaji wote wa OS ya mtandao! Itifaki ya SSL inayopatikana leo inafaa kwa jukumu hili njia bora. Ikiwa mifumo yote ya uendeshaji ya mtandao iliiunga mkono, basi hakutakuwa na haja ya kuunda programu maalum za seva zinazoendana na SSL (DNS, FTP, TELNET, WWW, nk). Ikiwa hatukubaliani juu ya kupitishwa kwa kiwango kimoja cha itifaki ya safu ya kikao salama, basi kupitishwa kwa viwango vingi kutahitajika ili kulinda kila huduma ya maombi ya mtu binafsi. Kwa mfano, itifaki ya DNS ya majaribio, ambayo haitumiki, tayari imeundwa. Pia kuna seva za majaribio zinazolingana na SSL Secure FTP na TELNET. Lakini yote haya bila kupitishwa kwa kiwango kimoja cha itifaki salama inayoungwa mkono na wazalishaji wote haina maana kabisa. Na leo, watengenezaji wa OS ya mtandao hawawezi kukubaliana juu ya msimamo mmoja juu ya mada hii na, kwa hivyo, kuhamisha suluhisho la shida hizi moja kwa moja kwa watumiaji wa mtandao na kuwaalika kutatua. zao matatizo na usalama wa habari wapendavyo!

b) Mtandao Monitor Usalama wa IP Alert-1

Utafiti wa vitendo na wa kinadharia wa waandishi katika eneo linalohusiana na utafiti wa usalama wa ndege zilizosambazwa, pamoja na mtandao (maeneo mawili ya utafiti: ukiukaji na kuhakikisha usalama wa habari), ulisababisha wazo lifuatalo: kwenye mtandao, na vile vile. kama kwenye mitandao mingine (Kwa mfano, Novell NetWare, Windows NT), kuna ukosefu mkubwa wa ulinzi wa programu ambayo hutekelezwa changamano kudhibiti (ufuatiliaji) katika kiwango cha kiungo cha mtiririko mzima wa taarifa zinazopitishwa kwenye mtandao ili kugundua aina zote za athari za mbali zilizoelezwa katika Sura ya 4. Utafiti wa soko la programu za usalama wa mtandao kwa Mtandao ulifunua ukweli kwamba, kwa ufahamu wetu, zana hizo za kina za kugundua athari za mbali hazipo, na zile zilizopo zimeundwa kugundua athari za aina moja maalum (kwa mfano, Uelekezaji Upya wa ICMP. au ARP). Kwa hiyo, maendeleo ya chombo cha ufuatiliaji kwa sehemu ya mtandao wa IP ilianzishwa, iliyokusudiwa kutumika kwenye mtandao na kupokea jina lifuatalo: ufuatiliaji wa usalama wa mtandao. Tahadhari ya IP-1. Kazi kuu ya zana hii, ambayo inachambua kwa utaratibu trafiki ya mtandao kwenye chaneli ya upitishaji, sio kurudisha nyuma mashambulio ya mbali yanayofanywa kwenye chaneli ya mawasiliano, lakini kugundua na kuziweka (kudumisha faili ya ukaguzi na kuingia kwa fomu inayofaa kwa taswira inayofuata. uchambuzi wa matukio yote yanayohusiana na mashambulizi ya mbali kwenye sehemu fulani ya mtandao) na kumtahadharisha msimamizi wa usalama mara moja ikiwa shambulio la mbali litagunduliwa. Kazi kuu mfuatiliaji wa usalama wa mtandao Tahadhari ya IP-1 ni utekelezaji kudhibiti kwa usalama wa sehemu inayolingana ya Mtandao.

Kifuatilia Usalama cha Mtandao Tahadhari ya IP-1 ina utendakazi ufuatao na inaruhusu, kupitia uchanganuzi wa mtandao, kugundua mashambulizi yafuatayo ya mbali kwenye sehemu ya Mtandao inayodhibiti.

Utendaji kazi wa kifuatilia usalama cha mtandao cha IP Alert-1

1. Kufuatilia mawasiliano ya anwani za IP na Ethaneti katika pakiti zinazotumwa na wapangishi walio ndani ya sehemu ya mtandao inayodhibitiwa.

Kwenye mwenyeji wa IP Alert-1, msimamizi wa usalama huunda jedwali la ARP tuli, ambapo huingiza taarifa kuhusu anwani za IP na Ethernet zinazofanana za majeshi ziko ndani ya sehemu ya mtandao inayodhibitiwa.

Kitendaji hiki hukuruhusu kugundua mabadiliko yasiyoidhinishwa katika anwani ya IP au uingizwaji wake (IP Spoofing).

2. Kufuatilia matumizi sahihi ya utaratibu wa utafutaji wa ARP wa mbali.

Kipengele hiki hukuruhusu kugundua shambulio la mbali la False ARP kwa kutumia jedwali tuli la ARP.

3. Kufuatilia matumizi sahihi ya utaratibu wa kuangalia DNS wa mbali.

Kipengele hiki kinakuwezesha kutambua aina zote zinazowezekana za mashambulizi ya mbali kwenye huduma ya DNS.

4. Ufuatiliaji wa uwepo wa ujumbe wa ICMP Uelekezaji Upya.

Chaguo hili la kukokotoa hukuarifu wakati ujumbe wa Uelekezaji Upya wa ICMP umegunduliwa na shambulio la mbali linalolingana limegunduliwa.

5. Kufuatilia usahihi wa majaribio ya kuunganisha kwa mbali kwa kuchanganua maombi yaliyotumwa.

Kazi hii hukuruhusu kugundua, kwanza, jaribio la kusoma sheria ya kubadilisha thamani ya awali ya kitambulisho cha unganisho la TCP - ISN, pili, kunyimwa kwa mbali kwa shambulio la huduma lililofanywa kwa kufurika kwa foleni ya ombi la unganisho, na tatu, iliyoelekezwa. " dhoruba" ya maombi ya uwongo ya uunganisho (wote TCP na UDP), ambayo pia husababisha kunyimwa huduma.

Hivyo, Mtandao wa Usalama Monitor Tahadhari ya IP-1 hukuruhusu kugundua, kuarifu na kurekodi aina zote za mashambulizi ya mbali yaliyoelezwa katika Sura ya 4! Walakini, mpango huu sio mshindani kwa mifumo ya Firewall. Tahadhari ya IP-1, kwa kutumia vipengele vya mashambulizi ya mbali kwenye mtandao yaliyoelezwa na kupangwa katika Sura ya 4, hutumika kama nyongeza ya lazima - kwa njia, kwa bei nafuu - kwa mifumo ya Firewall. Bila kifuatilia usalama, majaribio mengi ya kuzindua mashambulizi ya mbali kwenye sehemu ya mtandao wako yatasalia kufichwa machoni pako. Hakuna ngome za moto zinazojulikana kwa waandishi zinazohusika katika uchanganuzi wa busara wa ujumbe unaopita kwenye mtandao ili kutambua aina mbalimbali za mashambulizi ya mbali, kujiweka kikomo, bora zaidi, kuweka kumbukumbu, ambayo hurekodi habari kuhusu majaribio ya kubahatisha nywila za TELNET. na FTP, kuhusu skanning ya bandari, na skanning mtandao kwa kutumia programu maarufu ya utafutaji wa kijijini kwa udhaifu unaojulikana wa OS ya mtandao - SATAN. Kwa hiyo, ikiwa msimamizi wa mtandao wa IP hataki kubaki tofauti na kuridhika na jukumu la takwimu rahisi wakati wa mashambulizi ya mbali kwenye mtandao wake, basi ni vyema kwake kutumia ufuatiliaji wa usalama wa mtandao. Tahadhari ya IP-1. Kwa njia, hebu tukumbuke kwamba Tsutomu Shimomura aliweza kurekodi mashambulizi ya Kevin Mitnick, inaonekana kwa kiasi kikubwa kutokana na programu ya tcpdump, analyzer rahisi ya trafiki ya IP.

Mchele. 3. Kichunguzi cha usalama wa mtandao IP Alert-1.

4. Soko la mifumo ya usalama

4.1. Mitindo kuu ya soko: takwimu na utabiri

Kama unavyojua, anayemiliki habari ndiye anayemiliki ulimwengu. Walakini, leo taarifa nyingine, isiyo muhimu inasikika kuwa ya kushawishi zaidi na zaidi: wale wanaomiliki habari wanaogopa kila wakati kuipoteza au kupoteza udhibiti juu yake.

Kulingana na wachambuzi wengi, mnamo 2001 asili ya utapeli ilibadilika sana: ikiwa hapo awali hacker alichukua hatua moja kwa moja na lengo la shambulio hilo (hiyo ni, kimsingi ya kisiasa), sasa tunaweza kuzungumza juu ya hatua za kikundi cha wadukuzi, ambayo. katika mabadiliko ya haraka ya mazingira ya dunia ya kisasa imekuwa jambo la kihistoria. Mashambulizi sio njia tu ya kujieleza na sio "utendaji wa maonyesho", lakini chombo cha kulenga shabaha. Utafiti unaonyesha kuwa Mtandao wa Kompyuta (CN) uko hatarini sana karibu kila mahali, kwa hiyo uimarishaji wa aina hii ya shughuli hubeba hatari ya moja kwa moja, hasa wakati wa mvutano katika mahusiano kati ya makundi mbalimbali ya kisiasa na majimbo. Wataalamu wanaona kuwa rasilimali nyingi kubwa za mtandao bado ziko hatarini.

Kulingana na utafiti kuhusu mielekeo ya jumla ya usalama wa habari katika sekta ya TEHAMA, tunaweza kuhitimisha kuwa makampuni yanajishughulisha na kubadilisha sera zao za habari katika uwanja wa usalama wa habari, kwamba dira yao ya kimkakati iko nyuma kila wakati katika kuangazia siku zijazo, na utendakazi wao. katika kushughulikia data za kibinafsi na kiwango cha usalama wa miundombinu ni kazi inaweza kuitwa ya kuridhisha. Takwimu za kuvutia zinaweza kutajwa kama hoja zinazounga mkono kauli hii. Hivyo, makampuni mengi hayahusiani ipasavyo shughuli zao na vitisho vilivyopo: kwa mfano, ni kampuni moja tu kati ya 10 inayofuta/kubadilisha nenosiri baada ya mfanyakazi kufukuzwa kazi, ingawa 80% ya makampuni yana kanuni zinazofaa. Matokeo ya utafiti yanaonyesha dhamira dhaifu ya mashirika katika ukaguzi wa usalama wa habari (35%), juhudi ndogo za kuchochea uchunguzi wa kisheria wa matukio (17%), na uelewa mdogo wa vyanzo vya tishio (79% bado wanaamini kuwa hatari inatoka nje. , ingawa takwimu zinathibitisha vinginevyo). Utafiti umeonyesha kuwa 60% ya wasimamizi wakuu wanaona usalama wa habari wa shirika kama shida ya teknolojia na (40%) pekee kama suala la kimkakati la biashara.

Walakini, licha ya ukweli ulio hapo juu, kwa sasa kuna ongezeko la wazi la umakini wa umma kwa shida za usalama wa habari, kwa anuwai ya mahusiano ambayo kawaida huitwa Usalama wa Kielektroniki. Hii inathibitishwa na yafuatayo. Kulingana na wataalamu kutoka kampuni ya uchambuzi IDC, mahitaji ya mifumo ya usalama wa mtandao itakua kwa kasi katika miaka ijayo, ambayo itageuza sekta hii ya soko kuwa moja ya faida zaidi. Kulingana na mahesabu ya IDC, wastani wa ukuaji wa kila mwaka katika soko la mifumo ya usalama wa mtandao katika miaka mitano ijayo itakuwa 23%, na kufikia 2005 soko litafikia dola bilioni 14. Kulingana na wataalamu wa IDC, uwezekano mkubwa upo katika sekta ya bidhaa za programu. iliyoundwa kwa ajili ya uthibitishaji salama , idhini na utawala - katika kinachojulikana sekta ya bidhaa ya kikundi 3A (Utawala, Uidhinishaji, Uthibitishaji). Kulingana na IDC, programu ya usalama wa taarifa ya 3A inajumuisha utekelezaji wa usimamizi, uidhinishaji na uthibitishaji kazi zinazotumika kusimamia usalama kwenye mifumo ya kompyuta binafsi au ndani ya mfumo wa biashara, na inajumuisha michakato ya kufafanua, kuunda, kurekebisha, kufuta na kukagua watumiaji. Chanzo hicho hicho kinakadiria kuwa sekta hiyo itakua kwa kiwango cha kila mwaka cha 28% na itachangia 67% ya soko kufikia 2005.

Inajulikana kuwa moja ya sababu zinazozuia maendeleo ya biashara ya mtandaoni ni shida ya usalama. Kulingana na utafiti wa Shirikisho la Sekta ya Uingereza (CBI), makampuni yana imani kubwa katika usalama wa miamala ya B2B. Zaidi ya nusu ya biashara zilizochunguzwa na CBI zilisema zinaamini biashara ya B2B, wakati ni 32% tu walisema hivyo kuhusu shughuli za B2C. Ingawa ulaghai wa kadi za benki huchangia takriban 4% ya matukio makubwa, wachambuzi wa CBI wanabainisha kuwa hofu ya ulaghai inaendelea kurudisha nyuma maendeleo ya biashara ya mtandaoni, hasa sekta ya B2C.

Miongoni mwa mienendo mingine muhimu ya soko, ikumbukwe kwamba makampuni bado hayako tayari kujilinda na kutoa huduma salama, kwa vile hawana wafanyakazi wenye sifa (70.5%) na hawawezi kukokotoa jinsi kuanzishwa kwa mbinu mpya za usalama kutakuwa na faida. (45.9%). Mbali na matokeo hayo ya kutia moyo yalifichuliwa katika utafiti wa Japani, ambayo kwa vyovyote si nchi iliyo nyuma kiteknolojia. Wataalamu wanasema kuwa katika uwanja wa usalama wa mtandao kuna uhaba mkubwa wa wafanyakazi wenye uwezo wa kutatua matatizo husika.

Moja ya tafiti za hivi punde mwaka jana ziliandika wasiwasi unaokua miongoni mwa Wamarekani kuhusu faragha na masuala ya usalama mtandaoni. Na ingawa msisitizo kuu uliwekwa katika kutathmini usalama wa mitandao ya ushirika na serikali, katika muktadha wa jumla wa majibu, wasiwasi unaweza kufuatiliwa kuhusiana na kila kitu kinachozunguka watu katika ulimwengu huu usio na uhakika: kwamba 71% ya waliohojiwa walisema walikuwa. wana wasiwasi kuhusu tatizo la usalama katika CS, na 78% wana wasiwasi kuhusu uwezekano wa wizi au matumizi mengine yasiyoidhinishwa ya habari za kibinafsi katika CS.

Usalama wa uendeshaji wa wireless unaendelea kuwa wasiwasi kwa makampuni na watumiaji. Wote wanaogopa kwamba wadukuzi wataweza kunasa taarifa kwenye nzi. Kwa kuongezea, watumiaji kupoteza vifaa vya rununu vilivyo na habari za siri ni shida inayowezekana.

4.2. Muundo wa soko la usalama

Kile kilichoitwa usalama wa kompyuta katika miaka ya 60 na usalama wa data katika miaka ya 70 sasa inaitwa kwa usahihi zaidi usalama wa habari. Usalama wa habari unajumuisha hatua za kulinda michakato ya kuunda, kuingiza, kuchakata na kutoa data. Lengo kuu ni kulinda na kuhakikisha usahihi na uadilifu wa habari, kupunguza uharibifu unaoweza kutokea ikiwa habari itarekebishwa au kuharibiwa. Usalama wa habari unahitaji kuzingatia matukio yote wakati habari inapoundwa, kurekebishwa, kupatikana na kusambazwa.

Usalama wa habari unahakikisha kufikiwa kwa malengo yafuatayo:

· usiri wa habari muhimu;

· uadilifu wa habari na michakato inayohusiana (uundaji, pembejeo, usindikaji na matokeo);

Upatikanaji wa habari ikiwa ni lazima;

· uhasibu wa michakato yote inayohusiana na habari.

Kwa ujumla, soko la usalama wa mifumo ya habari linaweza kugawanywa katika maeneo mawili yasiyohusiana kiitikadi.

Mwelekeo wa kwanza unalenga ulinzi wa habari wa mitandao, yaani, ulinzi wa habari zinazozunguka ndani ya mitandao ya habari. Hivi sasa, hii ndiyo inayohitajika zaidi, na kwa hiyo imeendelezwa vizuri. Hii ni pamoja na antivirus mbalimbali, ngome, zana za siri, itifaki za usalama, saini za kidijitali Nakadhalika. Njia salama zaidi inayopatikana leo ni usimbaji fiche wa ufunguo wa umma.

Mwelekeo wa pili, unaokua kwa kasi ndani Hivi majuzi, inahusishwa na ulinzi wa moja kwa moja wa vitu vya mtandao. Mwelekeo huu unawakilishwa hasa na vifaa vya mitambo vinavyozuia upatikanaji wa vifaa, yaani, kwa seva, kompyuta za kibinafsi, nk. Kazi kuu ya vifaa hivi ni kuzuia intruder kufungua kompyuta kwa kutumia vifungo mbalimbali, kufuli, vifuniko vya kinga, nk. Arsenal pia inajumuisha programu inayokuruhusu kupata kompyuta zilizoibiwa baada ya kuunganishwa kwenye mtandao wa simu au Mtandao angalau mara moja. Programu hizi zinajumuisha sehemu mbili: mteja na kituo cha usindikaji habari. Baada ya mteja kusakinishwa kwenye kompyuta, mara kwa mara (kila dakika 15) huwasiliana na kituo na kusambaza taarifa zilizopo kuhusu hali ya sasa ya kompyuta (anwani ya IP, nambari ya simu ambayo kompyuta imeunganishwa kwa sasa, nk). Mteja amewekwa kwa njia ya kulindwa kutokana na kupangilia gari ngumu na kutoonekana kwa kutumia zana za kawaida za mfumo wa uendeshaji (watazamaji wa mchakato). Chaguo jingine la kutekeleza mwelekeo wa pili ni kwamba kompyuta, kwa kutumia wiring ya ziada na sensorer maalum ambazo zimeunganishwa kwenye jopo la nyuma la kompyuta, zimeunganishwa kwenye mtandao tofauti na mtandao wa data na kushikamana na kifaa cha vifaa vinavyoweza kurekodi. ufikiaji usioidhinishwa na uwashe kengele.

Uwezekano mkubwa zaidi, katika siku za usoni tutashuhudia kuunganishwa kwa maeneo haya mawili, ambayo ni hatua ya asili kuelekea kuongeza kiwango cha usalama wa habari. Na kutokana na ushirikiano huo, aina ya mfumo wa usalama wa ulimwengu wote inaweza kuonekana, na msimamizi wa usalama atakuwa na mahali pa kazi moja ambayo anaweza kudhibiti utaratibu wa usindikaji wa data na uadilifu wa vitu. Ufungaji wa mfumo huo hautahitaji cabling ya ziada, na uendeshaji wake hautaathiri kwa namna yoyote utendaji wa mtandao wa maambukizi ya data.

4.3. Viongozi katika soko la mifumo ya usalama

Shirika la Symantec

Symantec Corporation, mmoja wa viongozi wa ulimwengu katika mifumo ya usalama ya Mtandao, ni mtoaji anayeongoza wa mifumo ya usalama kwenye soko. Chapa ya Symantec ya Norton inajumuisha safu ya bidhaa za usalama wa habari ambazo ni wauzaji rejareja na kampuni inayoshinda tuzo za tasnia. Makao makuu ya Symantec yako Cupertino, Marekani. California. Shirika lina ofisi za uwakilishi katika nchi 37.

Ripoti ya Gartner Dataquest inataja kampuni kama kiongozi wa kimataifa katika programu ya usalama wa habari. Makadirio haya yanatokana na mapato kutokana na mauzo ya leseni mpya mwaka wa 2000. Ripoti ya Gartner Dataquest inaonyesha kwamba ukuaji wa Symantec unapita soko la usalama, na ukuaji wa mapato wa Symantec wa 40% mwaka kwa mwaka. "Kutokana na kuunganishwa kwake na Axent, ambayo ilitokea Desemba 2000, Shirika la Symantec lilihama kutoka nafasi ya 4 hadi ya 1 katika orodha, na kukamata 14.7% ya soko la usalama," ripoti hiyo inabainisha. Programu ya usalama ya Symantec, kama ilivyoainishwa na Gartner Dataquest, inajumuisha: programu ya kuzuia virusi, programu ya usimbaji fiche, ugunduzi wa kuingilia na zana zingine. usalama wa habari- firewalls, programu za kuchuja rasilimali za Mtandao, maombi ya kudhibiti upatikanaji wa mitandao ya nje. Symantec Corporation inatoa zana ulinzi wa antivirus, ngome, mitandao ya kibinafsi ya mtandaoni, zana za kutambua udhaifu wa usalama na majaribio ya kupenya yasiyoidhinishwa, programu za kuchuja kwa rasilimali za habari za mtandao na barua pepe, teknolojia za usimamizi wa mbali, pamoja na huduma za usalama wa habari.

Network Associates, Inc.

Kampuni hii, kama Symantec, inatawala soko la mifumo ya usalama kwa ujasiri, ikidhibiti karibu 60% ya soko la kimataifa la antivirus. Kulingana na Network Associates, Inc. (NAI) ina zaidi ya watumiaji milioni 60 duniani kote. NAI inatoa mojawapo ya familia ya kina na ya kina zaidi ya programu zinazolinda, kudhibiti na kufuatilia mitandao ya ushirika. Utendaji na upana wa suluhu zinazotolewa na Network Associates hukamilishwa na uwezo unaopatikana kutoka kwa Pretty Good Privacy (PGP) na Magic Solutions, pamoja na zana zenye nguvu. mawakala wa antivirus Dr.Solomon's, toleo la kwanza ambalo lilitolewa mapema 1997 na Programu ya Dr.Solomon. Kulingana na McAfee (kitengo cha Network Associates, Inc.), programu ya McAfee GroupShield Exchange imepokea tuzo ya Ununuzi Bora zaidi ya Secure Computing Magazine kwa mwaka wa tatu mfululizo, na kushinda. mtihani wa kulinganisha antivirus kwa MS Exchange. KATIKA mapitio ya kulinganisha programu ya kingavirusi ya Microsoft Exchange 2001 McAfee GroupShield ilipata ukadiriaji wa juu zaidi, ikishinda bidhaa kutoka kwa watengenezaji wengine wa antivirus kama vile Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates, n.k.

Shirika Kompyuta Associates International, Inc.

Ripoti ya IDC ilibainisha Computer Associates International, Inc. (CA) kama mtoa huduma anayeongoza wa programu ya uthibitishaji, uidhinishaji na usimamizi (3A), yenye hisa ya soko la kimataifa la 15.5%. Mnamo mwaka wa 2001, ripoti ya IDC, Utabiri na Uchambuzi wa Soko la Usalama wa Mtandao wa Kimataifa, 2001-2005, ilibainisha CA kama mtoaji mkuu wa programu za usalama wa mtandao ulimwenguni kwa mwaka wa pili mfululizo. CA inatoa suluhu za 3A kupitia familia ya eTrust ya bidhaa (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control na eTrust Intrusion Discition). "CA ni kiongozi wazi wa kimataifa katika maendeleo ya ufumbuzi wa usalama wa habari katika ufanisi wa kiteknolojia na ukubwa wa soko kwa ujumla," alisema Makamu wa Rais wa CA wa eTrust Solutions, Barry Keyes. - Manufaa ya mtindo wetu mpya wa biashara ya utoaji leseni, pana huduma ya kiufundi na suluhisho la uwazi, lililojumuishwa la usimamizi wa biashara ya kielektroniki limetuwezesha kutoa pendekezo la thamani lisilo na kifani kwa wasimamizi wa usalama wa habari za biashara na watoa huduma. Familia ya eTrust ya bidhaa huwezesha timu ya usimamizi kulinda, kusimamia ufikiaji na kuhakikisha udhibiti na usalama wa mfumo tata wa otomatiki. Suluhisho la eTrust linaendana na viwango vya sasa vya ulinzi wa data, inahakikisha uwezo wa kuingiliana na mifumo iliyopo ya usalama wa ndani na mifumo sawa ya washirika wa mtandao.

Kwa kumalizia, ningependa kutambua tena kwamba tatizo la usalama wa habari linazidi kuwa muhimu zaidi kila mwaka. Na soko, likijibu mahitaji ya watu wengi, hakika litatoa, na kwa kweli tayari linatoa suluhisho za usalama, za kuaminika na zinazostahili kabisa. Na jambo kuu sasa ni kuacha kwa njia yoyote ya mwanzo wa machafuko ya habari, ambayo hukasirika na wale ambao wanapenda kuangalia juu ya mabega yao au rummage kupitia portfolios ya watu wengine. Na kufanya hivyo, kila mtu lazima achague njia za kuaminika za usalama wa habari ambazo zitawapa usalama wa kutosha wa habari.

Hitimisho

Hapo awali, mtandao uliundwa kama mfumo wazi usiolindwa uliokusudiwa kwa mawasiliano ya habari ya idadi inayoongezeka ya watumiaji.

Wakati huo huo, kuunganisha watumiaji wapya ilibidi iwe rahisi iwezekanavyo, na upatikanaji wa habari unapaswa kuwa rahisi iwezekanavyo. Yote hii inapingana kwa uwazi na kanuni za kuunda mfumo salama, ambao usalama wake unapaswa kuelezewa katika hatua zote za uumbaji na uendeshaji wake, na watumiaji wanapaswa kupewa mamlaka wazi.

Waundaji wa mtandao hawakujitahidi kwa hili, na mahitaji ya usalama yangefanya mradi kuwa ngumu sana hivi kwamba wangefanya uundaji wake kuwa ngumu sana.

Hitimisho: Mtandao uliundwa kama mfumo usio salama ambao haukusudiwa kuhifadhi na kuchakata taarifa za siri. Isitoshe, Mtandao salama haungeweza kuwa mfumo ulivyo sasa na haungegeuka kuwa taswira ya habari ya utamaduni wa ulimwengu, zamani na sasa. Hii ni thamani ya kujitegemea ya Mtandao na, labda, ukosefu wake wa usalama ni bei ya kulipa kwa madhumuni hayo ya juu.

Maana: Kuna watumiaji wengi wanaovutiwa na Mtandao kuwa mfumo wenye maelezo yaliyoainishwa na haki za mtumiaji kulingana na sera zilizowekwa za usalama.

Hata hivyo, ubunifu wa kipaji zaidi wa akili ya mwanadamu baada ya muda fulani huanza kuishi maisha ya kujitegemea, kuendeleza na kwenda zaidi ya nia ya awali ya waumbaji. Kwa hiyo, usalama dhaifu wa mtandao umekuwa wasiwasi unaoongezeka kwa watumiaji wake kwa muda.

Kwa maoni yetu, Mtandao haupaswi kuwa na habari ambayo ufichuzi wake unaweza kusababisha athari mbaya. Kinyume chake, ni muhimu kuchapisha habari kwenye mtandao, usambazaji ambao ni wa kuhitajika kwa mmiliki wake. Daima ni muhimu kuzingatia ukweli kwamba wakati wowote habari hii inaweza kuingiliwa, kupotoshwa au inaweza kuwa haipatikani. Kwa hivyo, hatupaswi kuzungumza juu ya usalama wa Mtandao, lakini juu ya kuhakikisha utoshelevu wa usalama wa habari wa Mtandao.

Bila shaka, hii haipuuzi haja ya kufahamisha mtumiaji na safu tajiri na inayokua ya programu na maunzi kwa ajili ya kuhakikisha usalama wa taarifa za mtandao. Hata hivyo, tunaona kwamba hawana uwezo wa kubadilisha mtandao katika mazingira salama, ambayo itamaanisha kubadilisha asili yake.

Je, mtandao utakuwa salama? Uundaji wa zana za usalama wa Mtandao unaweza kupingana na madhumuni yake na kupotosha wazo halisi la Mtandao. Ni halali zaidi kuibua swali la kuunda taswira maalum salama ya kimataifa iliyoundwa kudhibiti uzalishaji wa kimataifa, usafiri na siasa za kijiografia. Inavyoonekana, maendeleo yatasababisha haja ya kuunda mfumo huo wa umoja. Mazingira kama haya ya mawasiliano yatakuwa na usanifu wa usalama na kuhakikisha uadilifu na usiri wa habari. Ni dhahiri kwamba waundaji wa mfumo huu lazima wahakikishe kwamba maslahi ya kisiasa na kiuchumi ya masomo ya kimataifa yanaheshimiwa, kwa kuwa umiliki wa aina nyingi wa mfumo huu unamaanisha udhibiti wa dunia.

Ni wazi kuwa mazingira kama haya hayawezi kuwa mtandao katika hali yake ya sasa. Jambo kuu, kwa maoni yetu, ni kujiepusha na hamu ya kuleta Mtandao wa leo karibu na mazingira kama haya ya kutawala ulimwengu. Mtandao ni mzuri kwa njia yake jinsi ulivyo.

Ni matarajio gani ya kulinda mifumo ya habari katika enzi ya ujumuishaji wa mazingira ya usindikaji wa habari? Kwa maoni yetu, njia ya kutoka kwa hali hii iko katika tofauti ya wazi kati ya habari ambayo ni muhimu kwa watumizi - watumiaji - na kuunda mifumo maalum ya kuichakata. Mifumo kama hii lazima iweze kuunganishwa katika mtandao wa kimataifa huku ikihakikisha utengaji wao wa habari wa njia moja.

KompyutaPress 8"1999

Lukatsky A.V. Mifumo ya kugundua mashambulizi//Teknolojia za benki. 1999. Nambari 2.

KompyutaPress 10"2001

KompyutaPress 3"2002

Maendeleo ya teknolojia ya habari na umaarufu unaokua wa mtandao umesababisha ukweli kwamba kompyuta zimekuwa sehemu muhimu ya maisha ya watu. Tunazitumia kufanya kazi, kutafuta habari muhimu katika maeneo tofauti kabisa, kuingiliana na watu walio katika maeneo tofauti na mengi zaidi, hivyo mara nyingi kutoweza kutumia kompyuta kwa wakati unaofaa husababisha matokeo mabaya.

Leo, kompyuta zinazidi kuwa waathirika wa mashambulizi. Sio tu vifaa vya ushirika na mitandao ya ndani ya makampuni makubwa hushambuliwa, lakini pia kompyuta za watumiaji wa kawaida. Mashambulizi yanaweza kufanywa kwa lengo la kuiba data ya kibinafsi, haswa ya kifedha, na kwa udadisi rahisi na burudani, kwa mfano, na watapeli wa novice. Pia sababu za kawaida za mashambulizi ni uadui wa kibinafsi dhidi ya wamiliki wa rasilimali na ushindani. Katika kesi ya mwisho, hufanywa kwa ombi na kwa ada. Kuna njia nyingi na aina za mashambulizi, na kila mwaka huwa ngumu zaidi na ujanja.

Mashambulizi ya kompyuta- hii inaathiri mfumo au kupata ufikiaji usioidhinishwa kwa kutumia programu au programu dhibiti

Mfano wa kushangaza wa mashambulizi ambayo hayalengi kuiba data ni mashambulizi ya DoS. Husababisha kukatizwa kwa huduma kwa watumiaji halali, kufanya huduma fulani au mfumo mzima kutopatikana, jambo ambalo ni baya sana. Ingawa usiri wa data unadumishwa, inakuwa vigumu kabisa kuitumia; mashambulizi ya aina hii huingilia utendakazi kamili wa rasilimali za kompyuta.

Kiini cha shambulio la DoS ni kwamba mshambuliaji anajaribu kufanya seva mahususi isipatikane kwa muda, kupakia mtandao, kichakataji, au kujaza diski. Lengo la shambulio hilo ni kuzima kompyuta na kukamata rasilimali zote za kompyuta ya mwathirika ili watumiaji wengine wasiwe na upatikanaji wao. Rasilimali ni pamoja na, kwa mfano, kumbukumbu, muda wa CPU, nafasi ya diski, rasilimali za mtandao, n.k. Maandishi ya muda

Shambulio la DoS (kunyimwa huduma) ni shambulio ambalo husababisha kupooza kwa seva au kompyuta ya kibinafsi kwa sababu ya idadi kubwa ya maombi yanayofika kwenye rasilimali iliyoshambuliwa kwa kasi kubwa.

Mbinu za msingi za kutekeleza mashambulizi ya DoS

Kuna njia mbili kuu za kutekeleza mashambulizi ya DoS.

Kwanza, kimantiki, ni kutumia udhaifu katika programu iliyosakinishwa kwenye kompyuta iliyoshambuliwa. Udhaifu hukuruhusu kusababisha hitilafu fulani muhimu ambayo husababisha usumbufu wa mfumo. Mashambulizi haya yanalenga udhaifu katika mifumo ya uendeshaji, programu, vichakataji na chips zinazoweza kupangwa.

Pili njia hiyo inahusisha kutuma idadi kubwa ya pakiti za habari kwenye kompyuta iliyoshambuliwa, ambayo husababisha overload ya mtandao. Mashambulizi yanayofanywa kwa kutuma idadi kubwa ya pakiti inaweza kugawanywa katika aina mbili kuu.

Mashambulizi yenye lengo la kuzuia njia za mawasiliano na ruta. Kiini cha shambulio hilo ni kutuma mkondo mkubwa wa mafuriko, ambayo ni, maombi, kwa kompyuta iliyoshambuliwa. umbizo lisilo sahihi au kimsingi haina maana. Mafuriko huziba kabisa upana mzima wa kituo cha data au kipanga njia cha kuingiza data. Kwa kuwa kiasi cha data kinazidi rasilimali za kuichakata, inakuwa vigumu kupokea pakiti sahihi za data kutoka kwa watumiaji wengine. Matokeo yake, mfumo unawanyima huduma.

Mashambulizi yanayolenga kupakia zaidi mfumo wa uendeshaji au rasilimali za programu. Mashambulizi wa aina hii hazilengi kwenye kituo cha mawasiliano, bali kwa mfumo wenyewe. Kila mfumo una vikwazo vingi kwenye vigezo mbalimbali (muda wa processor, nafasi ya disk, kumbukumbu, nk), na hatua ya mashambulizi ni kulazimisha mfumo kukiuka vikwazo hivi. Ili kufanya hivyo, idadi kubwa ya maombi hutumwa kwa kompyuta ya mwathirika. Kama matokeo ya nguvu nyingi za kompyuta kwenye seva, mfumo unakataa kutoa huduma kutoka kwa watumiaji halali.

Aina kuu za mashambulizi ya DoS

Kuna aina kadhaa za kunyimwa mashambulizi ya huduma kulingana na vipengele vya mrundikano wa itifaki ya TCP/IP. Hebu tuorodhe wale maarufu zaidi.

Shambulio la Ping-ya-Kifo hutumia athari ya itifaki ya TCP/IP kama vile kugawanyika kwa pakiti za data. Wakati wa maambukizi kwenye mtandao, pakiti za data zinagawanywa katika vipande, ambavyo vinakusanywa kwa moja wakati wa kuwasili kwenye kompyuta ya marudio. Mashambulizi hutokea kama ifuatavyo: pakiti ya ICMP iliyogawanyika sana inatumwa kwa kompyuta ya mwathirika, ukubwa wake unazidi kile kinachoruhusiwa katika itifaki (zaidi ya 64KB). Wakati kifaa kilichoshambuliwa kinapokea vipande na kujaribu kurejesha mfuko, mfumo wa uendeshaji unafungia kabisa, na panya na keyboard pia huacha kufanya kazi. Mifumo ya uendeshaji ya familia ya Windows, Mac na baadhi ya matoleo ya Unix yanaweza kukabiliwa na mashambulizi ya aina hii.

Shambulio Mafuriko ya SYN ("Kupeana mkono kwa mauti") hutumia kipengele cha itifaki ya TCP/IP kama utaratibu wa "kupeana mikono mara tatu". Ili kusambaza data, mteja hutuma pakiti iliyo na seti ya bendera ya SYN (sawazisha). Kwa kujibu, seva lazima ijibu kwa mchanganyiko wa alama za SYN+ACK (inakubali). Kisha mteja lazima ajibu kwa kutumia bendera ya ACK, kisha muunganisho utazingatiwa kuwa umeanzishwa.

Kiini cha shambulio hili ni kuunda idadi kubwa ya miunganisho isiyokamilika ya TCP. Kwa kutuma idadi kubwa ya pakiti za TCP SYN kwa mhasiriwa, mshambuliaji huilazimisha kufungua na kujibu nambari inayolingana ya viunganisho vya TCP, na kisha hakamilisha mchakato wa kuanzisha muunganisho. Huwezi kutuma pakiti ya majibu yenye bendera ya ACK, au hughushi kichwa cha pakiti ili jibu la ACK litumwe kwa anwani ambayo haipo. Kwa hivyo, mahitaji ya utaratibu wa "kushikana mikono mara tatu" haipatikani. Viunganisho vinaendelea kusubiri zamu yao, iliyobaki katika hali ya nusu-wazi. Seva iliyoshambuliwa hutenga rasilimali kwa kila pakiti ya SYN iliyopokelewa, ambayo itaisha hivi karibuni. Baada ya muda fulani, viunganisho vya nusu-wazi vinatupwa. Mshambulizi anajaribu kuweka foleni imejaa ili kuzuia miunganisho mipya kutoka kwa wateja halali. Matokeo yake, uanzishwaji wa mawasiliano hutokea kwa kuchelewa kwa muda mrefu au haufanyiki kabisa.

Shambulio la ardhi pia hutumia kipengele cha itifaki ya TCP/IP ambayo ombi la muunganisho lazima lijibiwe. Kiini cha shambulio hili ni kwamba kompyuta iliyoathiriwa, kama matokeo ya vitendo vya washambuliaji, inajaribu kuanzisha uhusiano na yenyewe, ambayo inasababisha overload ya processor na kusababisha mfumo kufungia au ajali.

Kugawanyika kwa kundi. Aina hii ya shambulio hutumia utaratibu wa kutuma data wa TCP/IP uliotajwa hapo juu, kulingana na ambayo pakiti za data zimevunjwa vipande vipande. Kugawanyika hutumiwa wakati ni muhimu kusambaza datagram ya IP, yaani, kizuizi cha habari kinachotumiwa kwa kutumia itifaki ya IP, juu ya mtandao ambao kitengo cha juu cha uhamisho wa data kinaruhusiwa ni chini ya ukubwa wa datagram. Aina hii ya shambulio husababisha kukataliwa kwa huduma kwa kutumia udhaifu katika baadhi ya rafu za TCP/IP zinazohusiana na ukusanyaji upya wa vipande vya IP.

Mfano itakuwa shambulio TearDrop, kwa sababu hiyo, wakati wa uhamisho wa vipande, huhamishwa, ambayo huwafanya kuingiliana wakati wa kukusanya mfuko. Jaribio la kompyuta iliyoshambuliwa kurejesha mlolongo sahihi wa vipande husababisha mfumo kuanguka.

Shambulio la mafuriko la DNS inajumuisha kutuma idadi kubwa ya maombi ya DNS. Hii inapakia seva ya DNS kupita kiasi na kufanya isiwezekane kwa watumiaji wengine kuipata.

Ikiwa mashambulizi ya Kukataa kwa Huduma yanafanywa wakati huo huo kutoka kwa idadi kubwa ya kompyuta mara moja, basi katika kesi hii tunazungumzia kuhusu shambulio la DDoS.

Shambulio la DDoS (kunyimwa huduma kwa usambazaji) ni aina ya mashambulizi ya DoS ambayo hupangwa kwa kutumia idadi kubwa sana ya kompyuta, kutokana na ambayo seva hata zilizo na kipimo data cha juu sana cha mtandao zinaweza kushambuliwa.

Kupanga mashambulizi ya DDoS, washambuliaji hutumia botnet - mtandao wa dharula kompyuta zilizoambukizwa na aina maalum ya virusi. Mshambulizi anaweza kudhibiti kila kompyuta kama hiyo kwa mbali, bila ufahamu wa mmiliki. Kwa kutumia virusi au programu inayojifanya kuwa halali, nambari ya programu hasidi imewekwa kwenye kompyuta iliyoathiriwa, ambayo haitambuliwi na antivirus na inafanya kazi katika. usuli. Kwa wakati unaofaa, kwa amri ya mmiliki wa botnet, programu kama hiyo imeamilishwa na huanza kutuma maombi kwa seva iliyoshambuliwa, kama matokeo ambayo kituo cha mawasiliano kati ya huduma inayoshambuliwa na mtoaji wa mtandao hujazwa na seva. huacha kufanya kazi.

Mashambulizi yaliyosambazwa yanaweza kufanywa kwa kutumia sio botnet tu, bali pia utaratibu wa kutafakari. Mashambulizi hayo huitwa mashambulizi ya DrDOS (mashambulizi ya athari zisizo za moja kwa moja, Distributed Reflection DoS). Hazifanyiki moja kwa moja, bali kupitia waamuzi. Mara nyingi, shambulio la DrDoS hufanyika kama ifuatavyo: pakiti ya TCP haitumwa kwa kompyuta iliyoshambuliwa, lakini kwa seva yoyote kwenye mtandao, lakini anwani ya kompyuta iliyoathiriwa imeonyeshwa kama anwani ya kurudi. Kwa kuwa seva yoyote hujibu kila mara kwa pakiti ya TCP yenye bendera ya SYN iliyo na pakiti ya TCP yenye bendera za SYN+ACK, kompyuta iliyochaguliwa kwa nasibu, bila kujua hili, hujibu maombi ya uwongo na huirusha kiotomatiki kompyuta iliyoathiriwa na mitiririko ya pakiti.

Jinsi ya kujikinga na mashambulizi « Kunyimwa huduma » ?

Kuna idadi ya mbinu ambazo zinaweza kusaidia kuzuia aina hizi za mashambulizi. Kati yao.

Njia yoyote ya mashambulizi ina sifa ya seti fulani ya sifa. Ishara za kawaida za mashambulizi ni pamoja na zifuatazo: :

1) Marudio ya matukio na vitendo fulani. Kwa mfano, kufikia bandari (skanning), kubahatisha nenosiri, kurudia maombi ya kuanzisha muunganisho, na kusababisha kufurika kwa foleni au buffer;

2) Vigezo visivyotarajiwa katika pakiti za mtandao

· sifa za anwani zisizotarajiwa (kwa mfano, anwani za IP zisizoweza kupitika au zilizohifadhiwa, chanzo au thamani ya uwanja wa bandari lengwa ni sifuri, ombi la seva zisizo za kawaida);

· vigezo visivyotarajiwa vya bendera za pakiti za mtandao (kwa mfano, bendera ya ACK inapowekwa, nambari ya kukiri ni sifuri; kuna bendera mbili za kipekee za SYN+FIN katika pakiti; uwepo wa bendera ya FIN pekee; matumizi ya mchanganyiko ya bendera za SYN+RST na RST+FIN);

· wakati au tarehe zisizotarajiwa sifa;

3) Vigezo vya trafiki vya mtandao visivyofaa

· vigezo vya trafiki inayoingia (kwa mfano, pakiti zinazoingia mtandao wa ndani kutoka nje ambazo zina anwani ya chanzo inayolingana na safu ya anwani ya mtandao wa ndani);

Vigezo vya trafiki vinavyotoka (kwa mfano, kutoka mtandao wa ndani pakiti zilizo na anwani ya chanzo inayolingana na anuwai ya anwani za mtandao wa nje);

· amri ambazo hazilingani na hali ya sasa (maombi au majibu yasiyo sahihi);

· hitilafu za trafiki ya mtandao (kwa mfano, mabadiliko ya kipengele cha mzigo, ukubwa wa pakiti, wastani wa idadi ya pakiti zilizogawanyika);

4) Sifa za utendaji zisizofaa za mfumo

· sifa zisizo za kawaida za mfumo (mzigo wa CPU, ufikiaji mkubwa wa RAM au kumbukumbu ya diski, faili);

· tofauti kati ya sifa za utendakazi wa mtumiaji na wasifu wao (mkengeuko kutoka kwa kilele na nyakati za chini zaidi za kupakia, kutoka kwa muda wa kipindi cha kazi cha kawaida, kutoka wakati wa kawaida wa kuingia na kutoka kwenye mfumo).

Chaguzi kuu za kutekeleza mashambulizi ya kompyuta

Mashambulizi yanaweza kufanywa kupitia kuingia moja kwa moja au mtandao kwa mfumo. Kwa hivyo, kuna chaguzi mbili kuu za kutekeleza shambulio:

1) mfumo - ambayo inachukuliwa kuwa mshambuliaji tayari ana akaunti kwenye mfumo ulioshambuliwa na marupurupu fulani (kawaida ya chini) au kuna uwezekano wa kuingia kwenye mfumo chini ya mtumiaji asiyejulikana. Katika kesi hii, shambulio hilo linatekelezwa kwa njia ya kuingia ndani ya mfumo chini ya hii akaunti na kupata mamlaka ya ziada ya kiutawala. Kama matokeo ya shambulio hilo, ufikiaji usioidhinishwa wa habari juu ya kitu (mwenyeji) unapatikana. Hasa, aina hii ya shambulio inaweza kufanywa kwa kutumia programu ya GetAdmin.

2) mtandao- ambayo ina maana kwamba mvamizi anajaribu kupenya mfumo kwa mbali kupitia mtandao. Kupenya kama hiyo kunawezekana wakati kompyuta ya mvamizi iko katika sehemu moja ya mtandao, katika sehemu tofauti, au kwa ufikiaji wa mbali kwa kitu kilichoshambuliwa (kwa mfano, kwa kutumia miunganisho ya kupiga simu au modem iliyojitolea). Kutokana na mashambulizi hayo, mshambuliaji anaweza kuwa na uwezo wa kudhibiti kompyuta kwa mbali kupitia mtandao, upatikanaji rasilimali za habari kushambuliwa kitu, kubadilisha hali yake ya uendeshaji, ikiwa ni pamoja na kunyimwa huduma. Programu za NetBus au BackOrifice zinaweza kutumika kama programu zinazokuruhusu kutekeleza mashambulizi ya mtandao.

Ili kutekeleza mashambulizi, amri fulani (mlolongo wa amri) zinaweza kutumika katika kiolesura cha mstari wa amri, hati, programu, au mawakala wa kusimama pekee waliowekwa kwenye moja au kusambazwa kwenye nodi kadhaa (kompyuta) za mtandao.

Mashambulizi ya kompyuta

...

Chanzo:

"ULINZI WA HABARI. LENGO LA HABARI. MAMBO YANAYOATHIRI HABARI. MASHARTI YA JUMLA. GOST R 51275-2006"

(iliyoidhinishwa na Amri ya Rostekhregulirovaniya tarehe 27 Desemba 2006 N 374-st)

Istilahi rasmi. Akademik.ru. 2012.

Tazama "Shambulio la Kompyuta" ni nini katika kamusi zingine:

mashambulizi ya kompyuta- Ushawishi usioidhinishwa unaokusudiwa kwa habari, kwenye rasilimali ya mfumo wa habari au kupata ufikiaji usioidhinishwa kwao kwa kutumia programu au maunzi. [R 50.1.056 2005] Mada za utetezi... ... Mwongozo wa Mtafsiri wa Kiufundi

mashambulizi ya kompyuta 3.11 Mashambulizi ya kompyuta: Ushawishi usioidhinishwa unaokusudiwa kwa habari, kwenye rasilimali ya mfumo wa habari otomatiki au kupata ufikiaji usioidhinishwa kwao kwa kutumia programu au maunzi... ...

mashambulizi ya mtandao- 3.12 shambulio la mtandao: Mashambulizi ya kompyuta kwa kutumia itifaki za utendakazi wa mtandao. Chanzo: GOST R 51275 2006: Ulinzi wa habari. Kitu cha habari. Mambo yanayoathiri habari. Masharti ya jumla... Kitabu cha marejeleo cha kamusi cha masharti ya hati za kawaida na za kiufundi

Mashambulizi ya mtandao: shambulio la kompyuta kwa kutumia itifaki za utendakazi wa mtandao... Chanzo: ULINZI WA HABARI. KITU CHA HABARI. MAMBO YANAYOATHIRI HABARI. MASHARTI YA JUMLA. GOST R 51275 2006 (imeidhinishwa na Agizo... ... Istilahi rasmi

Chapaev (mchezo wa kompyuta)- Mchezo wa kompyuta Chapaev 3D "Chapaev", au "Chapaevtsy" ni mchezo wa bodi ya Soviet, uliopewa jina la shujaa wa Vita vya wenyewe kwa wenyewe Vasily Ivanovich Chapaev. Mchezo huu unahusiana na billiards na uko karibu sana na michezo kama vile carrom, crokinole, ... ... Wikipedia

Starcraft (mchezo wa kompyuta)- StarCraft Original CD cover Developer Blizzard Entertainment Publishers Blizzard Entertainment, Sierra Entertainment, Soft Club Localizer ... Wikipedia

Vita na Amani (mchezo wa kompyuta)

Taji ya pili (mchezo wa kompyuta)- Knights and Merchants: The Shattered Kingdom Developer Joymania Entertainment Publisher TopWare Interactive ... Wikipedia

Kwa wizi wa silaha wa benki, hasara ya wastani ni dola elfu 19, na kwa uhalifu wa kompyuta - tayari 560 elfu. Kulingana na wataalamu wa Marekani, uharibifu kutokana na uhalifu wa kompyuta umeongezeka kila mwaka kwa wastani wa 35% katika kipindi cha miaka kumi iliyopita. Katika kesi hii, kwa wastani, 1% ya uhalifu wa kompyuta hugunduliwa, na uwezekano kwamba mhalifu ataenda gerezani kwa kugunduliwa kwa udanganyifu wa kompyuta sio zaidi ya 10%.

Bila shaka, matumizi yanayolengwa ya vidhibiti vya jadi vya usalama kama vile programu ya kingavirusi, ngome, kriptografia, na kadhalika, husaidia kuzuia ufikiaji usioidhinishwa wa habari. Walakini, katika kesi hii sababu ya mwanadamu inakuja. Mtu, mtumiaji wa mwisho, anageuka kuwa kiungo dhaifu zaidi katika mfumo wa usalama wa habari, na wadukuzi, wakijua hili, kwa ustadi kutumia mbinu za uhandisi wa kijamii. Vyovyote mifumo ya ngazi nyingi kitambulisho, hazina athari ikiwa watumiaji, kwa mfano, wanatumia nywila ambazo ni rahisi kupasuka. Kwa mtazamo wa kitaalamu wa masuala ya usalama, makampuni hutatua matatizo kama haya kwa kutoa manenosiri ya kipekee na changamano au ufungaji wa ngumu sheria za ushirika kwa wafanyikazi na adhabu za kutosha kwa kutofuata. Hata hivyo, hali hiyo ni ngumu na ukweli kwamba hivi karibuni jukumu la wahalifu wa kompyuta linazidi kuchezwa sio na watapeli wa "nje", lakini kwa watumiaji wa mwisho wenyewe. Kulingana na mtaalamu mmoja wa usalama wa habari wa Marekani, "Mhalifu wa kawaida wa kompyuta leo ni mfanyakazi ambaye anaweza kufikia mfumo ambao yeye ni mtumiaji asiye wa kiufundi." Nchini Marekani, uhalifu wa kompyuta unaofanywa na wafanyakazi wa kola nyeupe huchangia 70-80% ya hasara ya kila mwaka inayohusishwa na teknolojia ya kisasa. Zaidi ya hayo, ni 3% tu ya ulaghai na 8% ya unyanyasaji ulihusisha uharibifu maalum wa vifaa, programu au data. Katika hali zingine, washambuliaji walibadilisha habari tu - waliiba, kuibadilisha, au kuunda mpya, ya uwongo. Siku hizi, matumizi yanayozidi kuenea ya Mtandao huruhusu wadukuzi kubadilishana taarifa kwa kiwango cha kimataifa. Aina ya "hacker kimataifa" imeundwa kwa muda mrefu - baada ya yote, Mtandao, kama hakuna njia zingine za kiufundi, hufuta mipaka kati ya majimbo na hata mabara yote. Ongeza kwa hii karibu machafuko kamili ya Mtandao. Mtu yeyote leo anaweza kupata maagizo ya udukuzi wa kompyuta na zana zote muhimu za programu kwa kutafuta kwa urahisi maneno muhimu kama vile "hacker," "hacking," "hack," "crack," au "phreak." Jambo lingine ambalo huongeza kwa kiasi kikubwa hatari ya mifumo ya kompyuta ni matumizi makubwa ya mifumo ya uendeshaji iliyosanifiwa, rahisi kutumia na mazingira ya maendeleo. Hii inaruhusu wadukuzi kuunda zana za ulimwengu kwa utapeli, na mshambuliaji anayeweza kuwa hahitaji tena, kama hapo awali, kuwa na ustadi mzuri wa programu - inatosha kujua anwani ya IP ya tovuti inayoshambuliwa, na kutekeleza shambulio hilo inatosha. kuzindua programu inayopatikana kwenye mtandao. Makabiliano ya milele kati ya silaha na projectile yanaendelea. Wataalamu wa usalama wa habari tayari wamegundua kuwa haina maana kupata teknolojia ya wadukuzi kila wakati; washambuliaji wa kompyuta huwa hatua moja mbele kila wakati. Kwa hiyo, mbinu mpya zinazidi kuzingatia ugunduzi wa kuzuia ukiukwaji katika mifumo ya habari. Hata hivyo, baada ya muda, matatizo mapya hutokea, hasa kuhusiana na maendeleo ya mawasiliano ya wireless. Kwa hiyo, makampuni maalumu katika usalama wa habari wanapaswa kulipa kipaumbele zaidi na zaidi katika kulinda data zinazopitishwa kwa kutumia viwango vipya vya wireless.

Uainishaji

Mashambulizi ya mtandao ni tofauti kama mifumo inayolenga. Kiteknolojia kabisa, mashambulizi mengi ya mtandao hutumia idadi ya vikwazo vilivyo katika itifaki ya TCP/IP. Baada ya yote, wakati mmoja mtandao uliundwa kwa mawasiliano kati ya mashirika ya serikali na vyuo vikuu kusaidia mchakato wa elimu na utafiti wa kisayansi. Hapo zamani, waundaji wa Mtandao hawakujua jinsi ungeenea. Kwa sababu hii, vipimo vya matoleo ya awali ya Itifaki ya Mtandao (IP) yalikosa mahitaji ya usalama, na kwa hivyo utekelezaji mwingi wa IP ni hatari. Miaka mingi tu baadaye, wakati maendeleo ya haraka ya biashara ya mtandaoni yalipoanza na matukio kadhaa makubwa ya wadukuzi yalipotokea, zana za usalama za Itifaki ya Mtandao hatimaye zilianza kutekelezwa kwa upana. Hata hivyo, kwa kuwa usalama wa IP haukutengenezwa awali, utekelezaji wake ulianza kuongezewa na taratibu mbalimbali za mtandao, huduma na bidhaa iliyoundwa ili kupunguza hatari za asili za itifaki hii.

Mabomu ya posta

Ulipuaji wa barua pepe (kinachojulikana kama ulipuaji wa barua pepe) ni mojawapo ya aina za zamani na za awali za mashambulizi ya mtandao. Itakuwa sahihi zaidi hata kuiita uharibifu wa kompyuta (au uhuni tu, kulingana na ukali wa matokeo). Kiini cha ulipuaji wa barua ni kuziba kisanduku cha barua na mawasiliano ya "junk" au hata kuzima seva ya barua ya mtoa huduma wa mtandao. Kwa kusudi hili, programu maalum hutumiwa - mailbombers. Wanashambulia kwa urahisi kisanduku cha barua kilichoonyeshwa kama shabaha kwa idadi kubwa ya herufi, huku wakionyesha habari za uwongo za mtumaji - hadi kwenye anwani ya IP. Mnyanyasaji wote anayetumia programu kama hiyo anahitaji kuashiria barua pepe ya lengo la shambulio hilo, idadi ya ujumbe, andika maandishi ya barua (kawaida kitu cha kukera), onyesha data ya uwongo ya mtumaji ikiwa programu haifanyi hivi. yenyewe, na ubonyeze kitufe cha "anza". . Hata hivyo, watoa huduma wengi wa Intaneti wana mifumo yao ya kuwalinda wateja kutokana na ulipuaji wa bomu. Wakati idadi ya herufi zinazofanana kutoka kwa chanzo kimoja huanza kuzidi mipaka fulani inayofaa, mawasiliano yote yanayoingia ya aina hii yanaharibiwa tu. Kwa hiyo leo hakuna tena woga wowote mbaya wa kulipuliwa kwa posta.

Mashambulizi ya kubahatisha nenosiri

Mdukuzi anayeshambulia mfumo mara nyingi huanza vitendo vyake kwa kujaribu kupata nenosiri la msimamizi au mmoja wa watumiaji. Ili kujua nywila, kuna njia nyingi tofauti. Hapa ndio kuu: uharibifu wa IP na kunusa pakiti - tutawaangalia hapa chini. Kuanzisha "Trojan horse" kwenye mfumo ni mojawapo ya mbinu za kawaida katika mazoezi ya wadukuzi; pia tutaizungumzia kwa undani zaidi baadaye. Mashambulizi ya nguvu ya kikatili. Kuna programu nyingi zinazofanya utafutaji rahisi wa nywila kwenye mtandao au moja kwa moja kwenye kompyuta iliyoshambuliwa. Baadhi ya programu hutafuta manenosiri kwa kutumia kamusi maalum, nyingine kwa nasibu hutoa mfuatano tofauti wa herufi. Utafutaji wa kimantiki wa chaguzi za nenosiri. Mshambulizi anayetumia njia hii hujaribu tu michanganyiko ya vibambo vinavyoweza kutumiwa na mtumiaji kama nenosiri. Njia hii kawaida hugeuka kuwa yenye ufanisi wa kushangaza. Wataalamu wa usalama wa kompyuta huwa hawakomi kushangazwa na mara ngapi watumiaji hutumia michanganyiko ya "ajabu" kama vile manenosiri, kama vile 1234, qwerty, au majina yao wenyewe yaliyoandikwa nyuma. Wahasibu wakubwa, wakati wa kuchagua nenosiri lililohifadhiwa, wanaweza kusoma kwa undani mtu anayetumia nenosiri hili. Majina ya wanafamilia na jamaa wengine, mbwa / paka wanaopenda; ni timu gani na michezo "kitu" kinaunga mkono; anapenda vitabu na filamu gani; anasoma gazeti gani asubuhi - data hizi zote na mchanganyiko wao huenda kwa vitendo. Unaweza kuepuka mashambulizi kama haya tu kwa kutumia mchanganyiko wa nasibu wa herufi na nambari kama nenosiri, ikiwezekana kuzalishwa na programu maalum. Na, bila shaka, ni muhimu kubadili nenosiri mara kwa mara - msimamizi wa mfumo anajibika kwa ufuatiliaji huu. Uhandisi wa kijamii. Haya ni matumizi ya mdukuzi wa mbinu za kisaikolojia "kufanya kazi" na mtumiaji. Mfano wa kawaida (na rahisi zaidi) ni simu kutoka kwa anayedaiwa kuwa "msimamizi wa mfumo" na taarifa kama "Tumepata hitilafu ya mfumo hapa na maelezo ya mtumiaji yamepotea. Tafadhali unaweza kutoa jina lako la mtumiaji na nenosiri tena?" Kwa hivyo mhasiriwa mwenyewe anatoa nywila mikononi mwa hacker. Mbali na uangalifu wa mara kwa mara, mfumo wa "nenosiri za wakati mmoja" husaidia kulinda dhidi ya mashambulizi hayo. Walakini, kwa sababu ya ugumu wake, bado haijapokea usambazaji mpana.

Virusi, minyoo ya barua pepe na farasi wa Trojan

Majanga haya huathiri zaidi sio watoa huduma au mawasiliano ya shirika, lakini kompyuta za watumiaji wa mwisho. Kiwango cha kushindwa ni cha kuvutia - magonjwa ya milipuko ya kompyuta ambayo yanaibuka mara kwa mara yanasababisha hasara ya mabilioni ya dola. Waandishi wa programu "hasidi" wanazidi kuwa wa kisasa zaidi, wakijumuisha programu ya juu zaidi na teknolojia za kisaikolojia katika virusi vya kisasa. Virusi na farasi wa Trojan ni aina tofauti za "uadui" msimbo wa programu. Virusi huletwa katika programu zingine ili kufanya kazi yao mbaya kwenye kituo cha kazi mtumiaji wa mwisho. Hii inaweza kuwa, kwa mfano, uharibifu wa faili zote au fulani tu kwenye gari ngumu (mara nyingi), uharibifu wa vifaa (kigeni kwa sasa) au shughuli nyingine. Virusi mara nyingi hupangwa ili kuanzisha tarehe fulani (mfano wa kawaida ni WinChih maarufu, aka "Chernobyl"), na pia kutuma nakala zao wenyewe kupitia barua pepe kwa anwani zote zinazopatikana katika kitabu cha anwani cha mtumiaji. Farasi wa Trojan, tofauti na virusi, ni mpango wa kujitegemea, mara nyingi hauzingatii uharibifu mkubwa wa tabia ya habari ya virusi. Kwa kawaida, madhumuni ya kutambulisha Trojan horse ni kupata udhibiti wa mbali uliofichwa juu ya kompyuta ili kudhibiti maelezo yaliyomo. "Trojan farasi" kwa mafanikio kujificha wenyewe kama michezo mbalimbali au programu muhimu, wengi kubwa ambayo ni kusambazwa bila malipo kwenye mtandao. Zaidi ya hayo, wadukuzi wakati mwingine hupachika farasi wa Trojan katika programu "zisizo na hatia" na zinazojulikana. Mara moja kwenye kompyuta, farasi wa Trojan kawaida haitangazi uwepo wake, akifanya kazi zake kwa siri iwezekanavyo. Programu kama hiyo inaweza, kwa mfano, kutuma kimya kimya mmiliki wake wa hacker nenosiri na kuingia kwa ajili ya kupata mtandao kutoka kwa kompyuta hii; tengeneza na utume kwa anwani iliyojumuishwa ndani yake faili fulani; fuatilia kila kitu kilichoingizwa kutoka kwa kibodi, nk. Matoleo ya kisasa zaidi ya Trojan horses, ilichukuliwa ili kushambulia kompyuta maalum watumiaji maalum, inaweza, kwa maelekezo ya mmiliki, kuchukua nafasi ya data fulani na wengine iliyoandaliwa mapema, au kurekebisha data iliyohifadhiwa katika faili, na hivyo kupotosha mmiliki wa kompyuta. Kwa njia, hii ni mbinu ya kawaida kutoka kwa safu ya ujasusi wa viwandani na uchochezi. Kupambana na virusi na " Farasi wa Trojan"unafanywa kwa kutumia programu maalumu, na ulinzi uliojengwa vizuri hutoa udhibiti wa mara mbili: kwa kiwango cha kompyuta maalum na katika ngazi ya mtandao wa ndani. Njia za kisasa Mapigano dhidi ya nambari mbaya ni nzuri kabisa, na mazoezi yanaonyesha kuwa mara kwa mara kuzuka kwa milipuko ya virusi vya kompyuta hutokea kwa kiasi kikubwa kwa sababu ya "sababu ya kibinadamu" - watumiaji wengi na wasimamizi wengi wa mfumo (!) ni wavivu sana kusasisha mara kwa mara programu ya kuzuia virusi. hifadhidata na uangalie barua pepe zinazoingia kwa barua pepe za virusi kabla ya kuisoma (ingawa hii sasa inazidi kufanywa na watoa huduma wa mtandao wenyewe).

Ujuzi wa mtandao

Kwa kusema kweli, uchunguzi wa mtandao hauwezi kuitwa shambulio kwenye mfumo wa kompyuta - baada ya yote, mdukuzi hafanyi vitendo vyovyote "vibaya". Hata hivyo, uchunguzi wa mtandao daima hutangulia mashambulizi yenyewe, tangu wakati wa kuitayarisha, washambuliaji wanahitaji kukusanya taarifa zote zilizopo kuhusu mfumo. Wakati huo huo, habari inakusanywa kwa kutumia seti kubwa ya data na programu zinazopatikana kwa umma - kwa sababu mdukuzi anajaribu kupata taarifa muhimu iwezekanavyo. Hii hufanya ukaguzi wa bandari, Maswali ya DNS, upimaji wa mwangwi wa anwani zilizofichuliwa kwa kutumia DNS, n.k. Hii inafanya uwezekano, haswa, kujua ni nani anayemiliki kikoa hiki au kile na ni anwani gani zilizopewa kikoa hiki. Anwani zilizofichuliwa za DNS zilizofichuliwa kwa ping hukuruhusu kuona ni seva pangishi zinazoendeshwa kwenye mtandao fulani, na zana za kukagua lango hukuruhusu kubaini. orodha kamili huduma zinazoungwa mkono na waandaji hawa. Wakati wa kufanya upelelezi wa mtandao, sifa za programu zinazoendeshwa kwa wapangishaji pia huchambuliwa - kwa ufupi, habari hupatikana ambayo inaweza kutumika baadaye katika utapeli au kutekeleza shambulio la DoS. Haiwezekani kuondoa kabisa upelelezi wa mtandao, hasa kwa sababu vitendo rasmi vya uadui havifanyiki. Ikiwa, kwa mfano, unalemaza ICMP echo na jibu la echo kwenye vipanga njia vya pembeni, unaweza kuondokana na upimaji wa ping, lakini utapoteza data ambayo inahitajika kutambua kushindwa kwa mtandao. Kwa kuongeza, washambuliaji wanaweza kuchanganua bandari bila majaribio ya awali ya ping. Mifumo ya usalama na ufuatiliaji katika viwango vya mtandao na mwenyeji kwa kawaida hufanya kazi nzuri ya kumjulisha msimamizi wa mfumo kuhusu upelelezi unaoendelea wa mtandao. Ikiwa msimamizi ni mwangalifu juu ya majukumu yake, hii inamruhusu kujiandaa vyema kwa shambulio linalokuja na hata kuchukua hatua za haraka, kwa mfano, kwa kumjulisha mtoaji ambaye mtu anaonyesha udadisi kutoka kwa mtandao wake.

Pakiti kunusa

Pakiti ya kunusa ni programu ya programu inayotumia kadi ya mtandao inayofanya kazi katika hali ya uasherati (katika hali hii, pakiti zote hupokelewa kupitia njia za kimwili, adapta ya mtandao huituma kwa programu ili kuchakatwa). Katika hali hii, mnusi ("sniffer") hukata pakiti zote za mtandao zinazopitishwa kupitia kikoa kilichoshambuliwa. Upekee wa hali katika kesi hii ni kwamba sasa, mara nyingi, sniffers hufanya kazi katika mitandao kwa misingi ya kisheria kabisa - hutumiwa kutambua makosa na kuchambua trafiki. Kwa hivyo, si mara zote inawezekana kuamua kwa uhakika ikiwa programu maalum ya kunusa inatumiwa na washambuliaji au la, na ikiwa programu imebadilishwa tu na ile inayofanana, lakini na vitendaji "vya juu". Kwa kutumia mnusi, wavamizi wanaweza kupata taarifa mbalimbali za siri, kama vile majina ya watumiaji na manenosiri. Hii ni kutokana na ukweli kwamba idadi ya maombi ya mtandao inayotumiwa sana husambaza data katika muundo wa maandishi (telnet, FTP, SMTP, POP3, nk). Kwa kuwa watumiaji mara nyingi hutumia kuingia na nenosiri sawa kwa programu na mifumo mingi, hata uingiliaji wa wakati mmoja wa habari hii unaleta tishio kubwa kwa usalama wa habari wa biashara. Baada ya kupata kuingia na nenosiri la mfanyakazi fulani, hacker mwenye hila anaweza kupata rasilimali ya mtumiaji katika kiwango cha mfumo na, kwa msaada wake, kuunda mtumiaji mpya, bandia, ambaye anaweza kutumika wakati wowote kufikia Mtandao. na rasilimali za habari. Walakini, kwa kutumia seti fulani ya zana, unaweza kupunguza kwa kiasi kikubwa tishio la kunusa pakiti. Kwanza kabisa, inatosha tiba kali uthibitishaji ambao ni vigumu kuukwepa, hata kwa kutumia "sababu ya kibinadamu". Kwa mfano, Nywila za Wakati Mmoja. Hii ni teknolojia ya uthibitishaji wa vipengele viwili ambayo inachanganya ulicho nacho na unachojua. Katika kesi hii, vifaa au programu inazalisha kanuni nasibu nenosiri la kipekee la wakati mmoja. Iwapo mdukuzi atapata nenosiri hili kwa kutumia mnusi, habari hii haitakuwa na maana kwa sababu wakati huo nenosiri litakuwa tayari limetumika na limestaafu. Lakini hii inatumika tu kwa nywila - kwa mfano, ujumbe wa barua pepe bado haujalindwa. Njia nyingine ya kupambana na kunusa ni kutumia anti-sniffers. Hizi ni maunzi au programu zinazofanya kazi kwenye Mtandao ambazo wavutaji hutambua. Hupima saa za kujibu waandaji na kubaini ikiwa waandaji wanapaswa kushughulikia trafiki "ya ziada". Aina hizi za zana haziwezi kuondoa kabisa tishio la kunusa, lakini ni muhimu wakati wa kujenga mfumo wa ulinzi wa kina. Hata hivyo, kipimo cha ufanisi zaidi, kulingana na wataalam wengine, itakuwa tu kufanya kazi ya sniffers haina maana. Ili kufanya hivyo, inatosha kulinda data iliyopitishwa kwenye njia ya mawasiliano kwa kutumia njia za kisasa za cryptography. Kama matokeo, hacker haitaingilia ujumbe, lakini maandishi yaliyosimbwa, ambayo ni, mlolongo wa bits ambao hauelewiki kwake. Siku hizi, itifaki za kriptografia zinazojulikana zaidi ni IPSec kutoka Cisco, pamoja na itifaki za SSH (Secure Shell) na SSL (Secure Socket Layer).

Udanganyifu wa IP

Spoofing ni aina ya mashambulizi ambapo mdukuzi ndani au nje ya shirika huiga mtumiaji aliyeidhinishwa. Kuna njia mbalimbali za kufanya hivyo. Kwa mfano, mdukuzi anaweza kutumia anwani ya IP iliyo ndani ya anuwai ya anwani za IP zilizoidhinishwa kutumika ndani ya Mtandao wa shirika, au anwani ya nje iliyoidhinishwa ikiwa ataruhusiwa kufikia rasilimali fulani za mtandao. Kwa njia, uporaji wa IP mara nyingi hutumiwa kama sehemu ya shambulio ngumu zaidi, ngumu. Mfano wa kawaida ni shambulio la DDoS, ambapo mdukuzi kwa kawaida hupangisha programu kwenye anwani ya IP ya mtu mwingine ili kuficha utambulisho wao wa kweli. Walakini, mara nyingi udanganyifu wa IP hutumiwa kuzima mfumo kwa kutumia amri za uwongo, na pia kuiba faili maalum au, kinyume chake, kuingiza habari za uwongo kwenye hifadhidata. Karibu haiwezekani kuondoa kabisa tishio la uharibifu, lakini inaweza kupunguzwa kwa kiasi kikubwa. Kwa mfano, inaleta maana kusanidi mifumo ya usalama ili kukataa trafiki yoyote kutoka kwa mtandao wa nje na anwani ya chanzo ambayo inapaswa kuwa kwenye mtandao wa ndani. Hata hivyo, hii husaidia kupambana na udukuzi wa IP tu wakati anwani za ndani pekee ndizo zimeidhinishwa. Ikiwa baadhi ya anwani za nje ni kama hizo, basi kutumia njia hii inakuwa haina maana. Pia ni wazo nzuri, ikiwa tu, kuacha mapema majaribio ya kuharibu mitandao ya watu wengine na watumiaji wa mtandao wako - hatua hii inaweza kukusaidia kuepuka mfululizo mzima wa matatizo ikiwa mshambuliaji au tu mhuni wa kompyuta atatokea ndani ya shirika. Ili kufanya hivyo, unahitaji kutumia trafiki yoyote inayotoka ikiwa anwani yake ya chanzo sio ya anuwai ya ndani ya anwani za IP za shirika. Ikiwa ni lazima, utaratibu huu unaweza pia kufanywa na mtoa huduma wako wa mtandao. Aina hii ya uchujaji inajulikana kama "RFC 2827". Tena, kama ilivyo kwa kunusa kwa pakiti, ulinzi bora ni kufanya shambulio lisilofaa kabisa. Udanganyifu wa IP unaweza tu kutekelezwa ikiwa uthibitishaji wa mtumiaji unategemea anwani za IP. Kwa hivyo, uthibitishaji wa usimbaji fiche hufanya aina hii ya shambulio kuwa haina maana. Hata hivyo, badala ya usimbaji fiche, unaweza vilevile kutumia manenosiri ya wakati mmoja yaliyotolewa kwa nasibu.

Kunyimwa shambulio la huduma

Leo, moja ya aina ya kawaida ya mashambulizi ya hacker duniani ni kunyimwa huduma (DoS) mashambulizi. Wakati huo huo, hii ni moja ya teknolojia ndogo zaidi - utekelezaji wake uliwezekana tu kuhusiana na kuenea kwa kweli kwa mtandao. Sio bahati mbaya kwamba mashambulizi ya DoS yalijadiliwa sana tu baada ya Desemba 1999, kwa msaada wa teknolojia hii, tovuti za mashirika maarufu kama Amazon, Yahoo, CNN, eBay na E-Trade "kufunikwa". Ingawa ripoti za kwanza za kitu kama hicho zilionekana mnamo 1996, hadi "mshangao wa Krismasi" wa 1999, mashambulio ya DoS hayakuchukuliwa kuwa tishio kubwa kwa usalama wa Mtandao. Walakini, mwaka mmoja baadaye, mnamo Desemba 2000, kila kitu kilifanyika tena: tovuti za mashirika makubwa zaidi zilishambuliwa kwa kutumia teknolojia ya DoS, na wasimamizi wa mfumo wao hawakuweza tena kufanya chochote ili kukabiliana na washambuliaji. Naam, mwaka wa 2001, mashambulizi ya DoS yakawa biashara kama kawaida. Kusema kweli, mashambulizi ya DoS hayafanyiki ili kuiba taarifa au kuidanganya. Lengo lao kuu ni kulemaza kazi ya tovuti iliyoshambuliwa. Kimsingi, huu ni ugaidi mtandaoni tu. Sio bahati mbaya kwamba mashirika ya kijasusi ya Kimarekani yanashuku kwamba wale wanaopinga utandawazi wanahusika na mashambulizi mengi ya DoS kwenye seva za mashirika makubwa. Hakika, ni jambo moja kutupa matofali kwenye dirisha la McDonald mahali fulani huko Madrid au Prague, na ni jambo lingine kabisa kuharibu tovuti ya shirika hili kubwa, ambalo kwa muda mrefu limekuwa aina ya ishara ya utandawazi wa uchumi wa dunia. Mashambulizi ya DoS pia ni hatari kwa sababu ya kuwapeleka, wagaidi wa mtandao hawana haja ya kuwa na ujuzi na ujuzi maalum - programu zote muhimu, pamoja na maelezo ya teknolojia yenyewe, zinapatikana kwa uhuru kabisa kwenye mtandao. Kwa kuongeza, ni vigumu sana kujilinda dhidi ya aina hii ya mashambulizi. Kwa ujumla, teknolojia ya ushambuliaji ya DoS inaonekana kama hii: tovuti iliyochaguliwa kama shabaha imejaa maombi mengi ya uongo kutoka kwa kompyuta nyingi duniani. Matokeo yake, seva zinazohudumia node zimepooza na haziwezi kutumikia maombi ya watumiaji wa kawaida. Wakati huo huo, watumiaji wa kompyuta ambazo maombi ya uwongo hutumwa hata hawashuku kuwa mashine yao inatumiwa kwa siri na washambuliaji. Usambazaji huu wa "mzigo wa kazi" sio tu huongeza athari ya uharibifu wa shambulio hilo, lakini pia huchanganya sana hatua za kuiondoa, na hivyo haiwezekani kutambua anwani ya kweli ya mratibu wa mashambulizi. Leo, aina zinazotumiwa sana za mashambulizi ya DoS ni:

Smurf - ping inaomba ICMP (Itifaki ya Ujumbe wa Kudhibiti Mtandao) kwa anwani ya utangazaji iliyoelekezwa. Anwani ya chanzo ghushi inayotumika katika pakiti za ombi hili huishia kuwa shabaha ya shambulio. Mifumo inayopokea ombi la ping iliyoelekezwa hujibu na "kufurika" mtandao ambamo seva inayolengwa iko.

• Mafuriko ya ICMP ni shambulio sawa na Smurf, lakini bila ukuzaji unaoundwa na maombi kwa anwani ya utangazaji iliyoelekezwa.
• Mafuriko ya UDP - kutuma pakiti nyingi za UDP (Itifaki ya Data ya Mtumiaji) kwa anwani ya mfumo unaolengwa, ambayo husababisha "kufunga" kwa rasilimali za mtandao.
• Mafuriko ya TCP - kutuma pakiti nyingi za TCP kwa anwani ya mfumo unaolengwa, ambayo pia husababisha "kufunga" kwa rasilimali za mtandao.
• TCP SYN mafuriko - wakati wa kufanya aina hii ya shambulio, idadi kubwa ya maombi hutolewa ili kuanzisha miunganisho ya TCP na mwenyeji lengwa, ambayo, kwa sababu hiyo, inapaswa kutumia rasilimali zake zote kufuatilia miunganisho hii iliyofunguliwa kwa sehemu.

Katika tukio la shambulio, trafiki iliyokusudiwa kuzidisha mtandao ulioshambuliwa lazima "ikatishwe" kwa mtoaji wa huduma ya mtandao, kwa sababu kwenye mlango wa Mtandao haitawezekana tena kufanya hivyo - bandwidth nzima itachukuliwa. Wakati mashambulizi ya aina hii yanafanyika wakati huo huo kupitia vifaa vingi, inasemekana kusambazwa Shambulio la DoS(Kunyimwa Huduma Kusambazwa - DDoS). Tishio la mashambulizi ya DoS linaweza kupunguzwa kwa njia kadhaa. Kwanza, unahitaji kusanidi vizuri vipengele vya kupambana na uharibifu kwenye ruta zako na ngome. Vipengele hivi lazima vijumuishe, kwa kiwango cha chini, uchujaji wa RFC 2827. Ikiwa hacker hawezi kuficha utambulisho wake wa kweli, hakuna uwezekano wa kufanya mashambulizi. Pili, unahitaji kuwezesha na kusanidi vizuri vipengele vya kupambana na DoS kwenye routers na firewalls. Vipengele hivi hupunguza idadi ya njia zilizofunguliwa nusu, kuzuia upakiaji wa mfumo. Inapendekezwa pia, ikiwa kuna tishio la shambulio la DoS, kupunguza kiwango cha trafiki isiyo muhimu inayopitia Mtandao. Unahitaji kujadiliana na mtoa huduma wako wa mtandao. Hii kwa kawaida huweka kikomo cha trafiki ya ICMP, kwa kuwa inatumika kwa madhumuni ya uchunguzi tu.

Mashambulizi ya mtu wa kati

Aina hii ya mashambulizi ni ya kawaida sana kwa ujasusi wa viwanda. Katika shambulio la Mtu wa Kati, hacker lazima apate ufikiaji wa pakiti zinazopitishwa kwenye Mtandao, na kwa hivyo jukumu la washambuliaji katika kesi hii mara nyingi ni wafanyikazi wa biashara wenyewe au, kwa mfano, mfanyakazi wa mtoaji. kampuni. Mashambulizi ya Mtu-Katikati mara nyingi hutumia vinusi vya pakiti, itifaki za usafiri, na itifaki za uelekezaji. Madhumuni ya shambulio kama hilo, mtawalia, ni kuiba au kughushi taarifa zinazosambazwa au kupata ufikiaji wa rasilimali za mtandao. Ni ngumu sana kulinda dhidi ya shambulio kama hilo, kwani kawaida hushambuliwa na "mole" ndani ya shirika lenyewe. Kwa hivyo, kwa maneno ya kiufundi tu, unaweza kujilinda tu kwa kusimba data iliyopitishwa. Kisha mdukuzi, badala ya data anayohitaji, atapokea alama nyingi, ambazo haziwezekani kuelewa bila kuwa na kompyuta kubwa karibu. Hata hivyo, ikiwa mshambuliaji ana bahati na anaweza kunasa taarifa kuhusu kipindi cha kriptografia, usimbaji fiche wa data utapoteza maana yote kiotomatiki. Kwa hivyo, katika kesi hii, "mbele" ya mapambano haipaswi kuwa "mafundi", lakini idara ya wafanyikazi na huduma ya usalama ya biashara.

Kutumia "mashimo" na "mende" katika programu

Aina ya kawaida sana ya mashambulizi ya wadukuzi ni matumizi ya udhaifu (mara nyingi dosari za kupiga marufuku) katika programu zinazotumiwa sana, hasa kwa seva. Hasa "maarufu" kwa kutokuwa na uhakika na usalama dhaifu wa programu kutoka kwa Microsoft. Kwa kawaida, hali inakua kama ifuatavyo: mtu hugundua "shimo" au "mdudu" kwenye programu ya seva na kuchapisha habari hii kwenye mtandao kwenye jukwaa linalofaa. Mtengenezaji wa programu hii hutoa kiraka ("kiraka") ambacho huondoa tatizo hili na kuchapisha kwenye seva yake ya wavuti. Shida ni kwamba sio wasimamizi wote, kwa sababu ya uvivu rahisi, hufuatilia kila mara kugundua na kuonekana kwa viraka, na wakati fulani pia hupita kati ya ugunduzi wa "shimo" na uandishi wa "kiraka": Wadukuzi pia husoma mikutano ya mada na. , Ni lazima tuwape haki yao; wao hutumia kwa ustadi sana habari zinazopokelewa kwa vitendo. Sio bahati mbaya kwamba wataalam wengi wakuu wa usalama wa habari ulimwenguni ni wadukuzi wa zamani.

Lengo kuu la shambulio kama hilo ni kupata ufikiaji wa seva kwa niaba ya mtumiaji anayeendesha programu, kwa kawaida na haki za msimamizi wa mfumo na kiwango cha ufikiaji kinachofaa. Ni ngumu sana kulinda dhidi ya aina hii ya shambulio. Moja ya sababu, pamoja na programu ya ubora wa chini, ni kwamba wakati wa kufanya mashambulizi hayo, washambuliaji mara nyingi hutumia bandari zinazoruhusiwa kupita. firewall na ambayo haiwezi kufungwa kwa sababu za kiteknolojia tu. Kwa hivyo ulinzi bora katika kesi hii ni msimamizi wa mfumo mwenye uwezo na mwangalifu.

Ni mwanzo tu…

Pamoja na upanuzi wa mazao ya mazao yoyote ya kilimo, idadi ya wadudu wa wadudu wa zao hili huongezeka daima. Kadhalika, pamoja na maendeleo ya teknolojia ya habari na kupenya kwao katika nyanja zote za maisha ya kisasa, idadi ya washambuliaji wanaotumia teknolojia hizi kikamilifu inakua. Kwa hiyo, katika siku zijazo zinazoonekana, masuala ya kulinda mitandao ya kompyuta yatazidi kuwa muhimu. Aidha, ulinzi utafanyika katika maeneo makuu mawili: kiteknolojia na ushauri. Kuhusu mwelekeo kuu katika maendeleo ya tasnia ya usalama wa habari, kulingana na wataalam kampuni maarufu Kundi la Yankee, katika miaka ijayo watakuwa kama ifuatavyo:

1. Msisitizo juu ya ujenzi mifumo ya kinga itasonga vizuri - kutoka kukabiliana na mashambulizi ya wadukuzi wa "nje" hadi kulinda dhidi ya mashambulizi "kutoka ndani."

2. Ulinzi wa vifaa dhidi ya mashambulizi ya hacker utaendelezwa na kuboreshwa. Darasa jipya la vifaa vya mtandao litaonekana kwenye soko - "swichi za huduma za kinga". Wataweza kutoa ulinzi wa kina kwa mitandao ya kompyuta, wakati vifaa vya kisasa kwa kawaida hufanya seti ndogo ya kazi maalum, na mzigo mkuu bado unaangukia programu maalum.

3. Maendeleo ya haraka yanahakikishwa na soko la huduma kwa utoaji salama wa maudhui ya kidijitali na ulinzi wa maudhui yenyewe dhidi ya kunakiliwa kinyume cha sheria na matumizi yasiyoidhinishwa. Sambamba na maendeleo ya soko la utoaji salama, teknolojia zinazolingana pia zitakua. Wataalamu kutoka Kundi la Yankee wanakadiria kiasi cha soko hili kuwa dola milioni 200 kulingana na matokeo ya 2001 na kutabiri ukuaji hadi $2 bilioni ifikapo 2005.

4. Mifumo ya uthibitishaji wa kibayometriki (retina, alama za vidole, sauti, n.k.), ikijumuisha ile changamano, itatumika kwa upana zaidi. Mengi ya yale ambayo sasa yanaweza kuonekana tu katika filamu zenye matukio mengi yatajumuishwa katika maisha ya kila siku ya shirika.

5. Kufikia 2005, watoa huduma za mtandao watatoa sehemu kubwa ya huduma za usalama kwa wateja wao. Zaidi ya hayo, wateja wao wakuu watakuwa makampuni ambayo biashara yao imejengwa hasa kwenye teknolojia za mtandao, yaani, watumiaji wanaofanya kazi wa huduma za mwenyeji wa wavuti, mifumo ya e-commerce, nk.

6. Soko la huduma za usalama za mtandao zenye akili linatarajiwa kukua kwa kasi. Hii ni kutokana na ukweli kwamba dhana mpya za kulinda mifumo ya TEHAMA kutoka kwa wadukuzi hazizingatii sana kujibu matukio/mashambulizi ambayo tayari yametokea, bali katika kuyatabiri, kuyazuia, na kuchukua hatua madhubuti na za kuzuia.

7. Mahitaji ya mifumo ya encryption ya kibiashara ya cryptographic kwa data iliyopitishwa itaongezeka kwa kiasi kikubwa, ikiwa ni pamoja na maendeleo ya "desturi" kwa makampuni maalum, kwa kuzingatia maeneo yao ya shughuli.

8. Katika soko la ufumbuzi wa usalama wa IT, kutakuwa na mabadiliko ya taratibu kutoka kwa "mifumo ya kawaida", na kwa hiyo kutakuwa na ongezeko la mahitaji ya huduma za ushauri kwa ajili ya maendeleo ya dhana za usalama wa habari na ujenzi wa mifumo ya usimamizi wa usalama wa habari. kwa wateja maalum.

Soko la mifumo na huduma za usalama wa habari pia linakua katika "nafasi ya baada ya Soviet" - ingawa sio kwa kasi sawa na sio kwa kiwango sawa na Magharibi. Kama gazeti la Kommersant lilivyoripoti, nchini Urusi maendeleo ya miundombinu ya habari aina mbalimbali mashirika yanatumia kutoka 1% (metallurgy) hadi 30% (sekta ya fedha) ya bajeti zao. Wakati huo huo, gharama za ulinzi hadi sasa ni takriban 0.1-0.2% tu ya sehemu ya gharama ya bajeti. Kwa hiyo, kiasi cha jumla cha soko la mifumo ya usalama wa habari nchini Urusi mwaka 2001 inakadiriwa na wataalam kwa dola milioni 40-80. Mwaka 2002, kwa mujibu wa takwimu pamoja na katika rasimu ya Bajeti ya Serikali, wanapaswa kuwa na kiasi cha dola 6-120. Kwa kulinganisha: kama inavyoonyeshwa na utafiti wa hivi majuzi wa IDC, ukubwa wa soko la Ulaya la bidhaa za usalama wa habari (programu na maunzi) pekee unatarajiwa kuongezeka kutoka $1.8 bilioni mwaka 2000 hadi $6.2 bilioni mwaka 2005.