Мережева безпека


Безпека мережі (Network security) — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів.

Безпека інформаційної мережі включає захист обладнання, програмного забезпечення, даних і персоналу. Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів. Мережева безпека включає в себе дозвіл на доступ до даних в мережі, який надається адміністратором мережі. Користувачі вибирають або їм призначаються ID і пароль або інші перевірки автентичності інформації, що дозволяє їм здійснити доступ до інформації і програм у рамках своїх повноважень.

Мережева безпека охоплює різні комп'ютерні мережі, як державні, так і приватні, які використовуються в повсякденних робочих місцях для здійснення угод і зв'язків між підприємствами, державними установами та приватними особами. Мережі можуть бути приватними, такими як всередині компанії або відкритими, для публічного доступу. Мережева безпека бере участь в організаціях, підприємствах та інших типів закладів. Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та відповідного паролю.

Види атак мережі



Атаки відмови в обслуговуванні

DoS (від англ. Denial of Service - Відмова в обслуговуванні) — атака, що має своєю метою змусити сервер не відповідати на запити. Такий вид атаки не передбачає отримання деякої секретної інформації, але іноді буває підмогою в ініціалізації інших атак. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не може обробити величезну кількість вхідних пакетів.

DDoS (від англ. Distributed Denial of Service - Розподілена DoS) — підтип DoS-атаки, що має ту ж мету що і DoS, але що проводяться не з одного комп'ютера, а з декількох комп'ютерів в мережі. У даних типах атак використовується або виникнення помилок, що призводять до відмови сервісу, або спрацьовування захисту, що приводить до блокування роботи сервісу, а в результаті також до відмови в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп'ютерів об'єднуються, і кожен виробляє DoS-атаку на систему жертви. Разом це називається DDoS-атака.

Будь-яка атака являє собою не що інше, як спробу використовувати недосконалість системи безпеки жертви або для отримання інформації, або для нанесення шкоди системі, тому причиною будь вдалої атаки є професіоналізм крекерів і цінність інформації, а також недостатня компетенція адміністратора системи безпеки зокрема, недосконалість програмного забезпечення та недостатня увага до питань безпеки в компанії в цілому.

Впровадження в комп'ютери шкідливих програм

Численна група атак пов'язана з впровадженням в комп'ютери шкідливих програм (Malware), до числа яких відносяться троянські та шпигунські програми, черв'яки, віруси, спам, логічні бомби і деякі інші типи програм, націлені на порушення інформаційної безпеки.

Перехоплення і перенаправлення трафіку

Має на меті направити трафік комп'ютера за помилковою адресою, в якості якого може виступати адреса або зловмисника, або третьої сторони.

Сніффінг пакетів

Принцип дії заснований на особливостях роботи мережевої карти. Пакети, отримані їй, пересилаються на обробку, де з ними взаємодіють спеціальні додатки. В результаті зловмисник отримує доступ не тільки до інформації про структуру обчислювальної системи, а й до безпосередньо переданої інформації — паролів, повідомлень та інших файлів.


Методи забезпечення інформаційної безпеки. Система виявлення вторгнень


Забезпечення інформаційної безпеки - це діяльність, спрямована на досягються стану захищеності (цілісності, конфіденційності та доступності) інфорної середовища, а також на прогнозування, запобігання і пом'якшення наслідків будь-яких випадкових або зловмисних дій, результатом яких може з'явитися нанесення збитку самої інформації, її власникам чи підтримує інфраструктурі.

Сьогодні існує великий арсенал методів забезпечення інформаційної безопасности, до яких ми, перш за все, віднесемо технічні засоби захисту, такі як системи шифрування, аутентифікації, авторизації, аудиту, антивірусного захисту, міжмережеві екрани та ін.

Система виявлення атак (вторгнень) — програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін — Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System).

IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніш не відомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєднують у coбі функціональність двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS).

Хоча й IDS, і міжмережевий екран відносяться до засобів забезпечення інформаційної безпеки, міжмережевий екран відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відслідковує вторгнення, які відбуваються всередині мережі. IDS, навпаки, пропускає трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності. Виявлення порушення безпеки проводиться звичайно з використанням евристичних правил та аналізу сигнатур відомих комп'ютерних атак.

Класифікація IDS

Мережеві (Network-based IDS, NIDS) контролюють пакети в мережевому оточенні і виявляють спроби зловмисника проникнути всередину системи або реалізувати атаку «відмова в обслуговуванні». Ці IDS працюють з мережевими потоками даних. Типовий приклад NIDS — система, яка контролює велике число TPC-запитів на з'єднання (SYN) з багатьма портами на обраному комп'ютері, виявляючи, таким чином, що хтось намагається здійснити сканування TCP — портів. Мережева IDS може запускатися або на окремому комп'ютері, який контролює свій власний трафік, або на виділеному комп'ютері, прозоро переглядають весь трафік у мережі (концентратор, маршрутизатор). Мережеві IDS контролюють багато комп'ютерів, тоді як інші IDS контролюють тільки один.

IDS, які встановлюються на хості і виявляють зловмисні дії на ньому називаються хостовими або системними IDS. Прикладами хостових IDS можуть бути системи контролю цілісності файлів, які перевіряють системні файли з метою визначення, коли в них були внесені зміни. Монітори реєстраційних файлів (Log — file monitors, LFM), контролюють реєстраційні файли, створювані мережевими сервісами і службами. Обманні системи, що працюють з псевдосервісами, мета яких полягає у відтворенні добре відомих вразливостей для обману зловмисників.

PIDS (Protocol — based IDS) являє собою систему (або агента), яка відстежує і аналізує комунікаційні протоколи з пов'язаними системами або користувачами. Для веб-сервера подібна IDS зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS IDS повинна розташовуватися на такому інтерфейсі, щоб переглядати HTTPS пакети ще до їх шифрування і відправки в мережу.

APIDS (Application Protocol — based IDS) — це система (або агент), яка веде спостереження та аналіз даних, переданих з використанням специфічних для певних програм протоколів. Наприклад, на веб-сервері з SQL базою даних IDS буде відслідковувати вміст SQL команд, що передаються на сервер.

Динамічні IDS здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети, що передаються за певний проміжок часу. Динамічні IDS реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою системи.

Статичні IDS роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе ПО, помилки в конфігураціях і т. д. Статичні IDS перевіряють версії прикладних програм на наявність відомих вразливостей і слабких паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або перевіряють конфігурацію відкритих мережевих сервісів. Статичні IDS виявляють сліди вторгнення.



Класифікація IPS



Мережеві IPS (Network — based Intrusion Prevention, NIPS) відстежують трафік в комп'ютерній мережі і блокують підозрілі потоки даних.

IPS для бездротових мереж (Wireless Intrusion Prevention Systems, WIPS) перевіряє активність в бездротових мережах. Зокрема, виявляє невірно сконфігуровані точки бездротового доступу до мережі, атаки людина посередині, спуфинг MAC-адрес.

Поведінковий аналіз мережі (Network Behavior Analysis, NBA) аналізує мережевий трафік, ідентифікує нетипові потоки, наприклад DoS і DDoS атаки.

Система попередження вторгнень для окремих комп'ютерів (Host — based Intrusion Prevention, HIPS) резидентні програми, які виявляють підозрілу активність на комп'ютері.



Аналізатор трафіку, або сніфер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку, призначеного для інших вузлів.

Перехоплення трафіку може здійснюватися:

  • звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми); 
  • підключенням сніфера в розрив каналу; 
  • відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер; 
  • через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується; 
  • через атаку на канальному (MAC-spoofing) або мережевому рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу. 
Сніфери застосовуються як в благих, так і в деструктивних цілях. Аналіз трафіку, що пройшов через сніфер, дозволяє:

  • Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз). 
  • Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності). 
  • Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації. 
  • Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами). 
Wireshark (раніше звався Ethereal) — програма для аналізу мережевих пакетів Ethernet і інших мереж (сніфер) з вільним вихідним кодом. Має графічний інтерфейс користувача. У червні 2006 року проект був перейменований на Wireshark через проблеми з торговою маркою.

Функціональність, яку надає Wireshark, дуже схожа з можливостями програми tcpdump, проте Wireshark має графічний інтерфейс користувача і значно більше можливостей із сортування і фільтрації інформації. Програма дозволяє користувачеві переглядати весь трафік, що проходить по мережі, в режимі реального часу, переводячи мережну карту в promiscuous mode.

Wireshark — це програма, яка розпізнає структуру найрізноманітніших мережевих протоколів, і тому дозволяє розібрати мережевий пакет, відображаючи значення кожного поля протоколу будь-якого рівня. Оскільки для захоплення пакетів використовується pcap, існує можливість захоплення даних тільки з тих мереж, які підтримуються цією бібліотекою. Проте, Wireshark вміє працювати з безліччю форматів початкових даних, відповідно, можна відкривати файли даних, захоплених іншими програмами, що розширює можливості захоплення.

Програма розповсюджується під вільною ліцензією GNU GPL і використовує для формування графічного інтерфейсу кросплатформову бібліотеку GTK+. Існують версії для більшості типів UNIX, зокрема GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а також для Microsoft Windows.





tcpdump (від TCP і англ. dump — звалище, скидати) — сніфер, утиліта UNIX, що дозволяє захоплювати і аналізувати мережний трафік, що проходить через комп'ютер, на якому запущена ця програма.

Основні призначення tcpdump:

  • налагодження мережевих програм; 
  • налагодження мережі і мережної конфігурації в цілому. 

Програма складається з двох основних частин: частини захоплення пакетів (звернення до бібліотеки, libcap (Linux) або pcap (Windows)) і частини відображення захоплених пакетів (яка на рівні вихідного коду є модульною і для підтримки нового протоколу досить додати новий модуль).

Частина захоплення пакетів (при запуску) передає "вираз вибору пакетів" (що йде після всіх параметрів командного рядка) безпосередньо бібліотеці захоплення пакетів, яка перевіряє правильність синтаксису виразу, компілює його (у внутрішній формат даних), а потім копіює у внутрішній буфер програми мережні пакети, які проходять через вибраний мережевий інтерфейс і задовольняють умовам у виразі.

Частина відображення пакетів по черзі вибирає захоплені пакети з внутрішнього буфера, і виводить їх на стандартний вивід в форматі зрозумілому людині, згідно із заданим рівнем детальності.

Якщо задано докладний вивід пакетів, програма перевіряє для кожного мережевого пакету, чи є у неї модуль розшифровки даних, і, у разі наявності, відповідною підпрограмою витягує (і відображає) тип та інші параметри пакету в протоколі.




BlackICE - спеціалізований додаток-агент, який призначений виключно для виявлення зловмисників. Виявивши непрошеного гостя, він направляє звіт про цю подію керуючому модулю ICEcap, що аналізує інформацію, що надійшла від різних агентів, і які прагнуть локалізувати атаку на мережу. Попередження, які генеруються агентами BlackICE, дуже конкретні. Подібний текст не змусить адміністратора засумніватися в характері зареєстрованої події, а в більшості випадків і в її важливості. Крім того, продукт дозволяє адміністратору налаштувати зміст власних попереджувальних повідомлень, але за великим рахунком в цьому немає ніякої необхідності.
Особливо корисною є присутність в складі ПО BlackICE персонального брандмауера, призначеного для користувачів, які працюють в мережі своєї організації через комутоване з'єднання. Як відомо, з віддаленим доступом пов'язана найбільша кількість лазівок для зловмисників, і програма забезпечує комплексний захист віддалених і мобільних користувачів.
BlackICE видає попереджуючі повідомлення безпосередньо на екран віддаленої станції-клієнта, а не намагається негайно відправити їх на керуючу консоль корпоративної мережі. Це дозволяє користувачеві оперативно зреагувати на те, що відбувається.

Intruder Alert - інструментарій детектування мережевих атак. Вибирає стратегію захисту мережі. Підтримує високий рівень набору правил мережевого захисту.
Завантажує сигнатури хакерських атак. Вимагає наявності досвідчених фахівців для обслуговування.

Centrax - інструментарій детектування мережевих атак. Контролює систему безпеки мережі. Здійснює моніторинг трафіку. Видає попереджуючі повідомлення про мережевий атаці.Вимагає наявності досвідчених фахівців для обслуговування.

eTrust Intrusion Detection - аналізатор трафіка мережі сегменту.
Управляє стратегіями захисту.
Видає попередження про атаку в режимі реального часу.
Здійснює моніторинг трафіку.
Попереджає адміністратора про порушення стратегії захисту.
Повідомляє про наявність ненормативної лексики в електронній пошті.
Має у своєму розпорядженні інформацією про зловмисника.


Коментарі

Дописати коментар

Популярні дописи з цього блогу

Топології комп'ютерних мереж

Зображення
                      1. Основні топології                          1.1 Топологія "Шина"           Шина - топологія комп'ютерної мережі , у як ій використовується один кабель, що називається  магістраллю , до якого підключені всі  комп'ютери  мережі. Дана топологія є найбільш простою і поширеною реалізацією мережі. Топологія « шина » самою своєю структурою припускає ідентичність мережного устаткування комп'ютерів, а також рівноправність всіх абонентів по доступу до мережі. Комп'ютери в шині можуть передавати інформацію тільки по черзі, тому що лінія зв'язку в цьому випадку єдина. Якщо кілька комп'ютерів будуть передавати інформацію одночасно, вона спотвориться в результаті накладення (конфлікту, колізії). У шині завжди реалізується режим напівдуплексного обміну ( в одному напрямку – лише на прийом або на передачу ). ...
Докладніше

Принципи мережевої взаємодії

Зображення
Семирівнева модель OSI Модель OSI (ЕМВВС) (базова еталонна модель взаємодії відкритих систем, англ. Open Systems Interconnection Basic Reference Model, 1978 р.) — абстрактна мережева модель для комунікацій і розробки мережевих протоколів. Представляє рівневий підхід до мережі. Кожен рівень обслуговує свою частину процесу взаємодії. Завдяки такій структурі спільна робота мережевого обладнання й програмного забезпечення стає набагато простішою, прозорішою й зрозумілішою. В 1978 році Міжнародний комітет зі стандартизації (ISO) розробив стандарт архітектури ISO 7498 для об'єднання різних мереж. У розробці брало участь 7 комітетів, кожному з них був відведений свій рівень. В 1980 році IEEE опублікував специфікацію 802, що детально описала механізми взаємодії фізичних пристроїв на канальному й фізичному рівнях моделі OSI. В 1984 році специфікацію моделі OSI переглянули й прийняли як міжнародний стандарт для мережних комунікацій. Модель складається з 7-ми рівнів, розташованих вертика...
Докладніше