Мережева безпека

Короткий огляд видів атак мережі
Mailbombing
Найстаріший вид атак. Значно збільшується трафік і кількість надісланих повідомлень, що генерує збій в роботі сервісу. Це викликає параліч не тільки Вашої пошти, а й роботи самого поштового сервера. Ефективність таких атак в наші дні вважається нульовою, оскільки тепер провайдер має можливість встановити обмеження трафіку від одного відправника.
Переповнення буфера 
Принцип цього виду атак — програмні помилки, при яких пам’ять порушує свої ж кордони. Це, в свою чергу, змушує або завершити процес аварійно, або виконати довільний бінарний код, де використовується поточний обліковий запис. Якщо обліковий запис — адміністраторський, то дані дії дозволяють отримати повний доступ до системи.
Віруси, трояни, поштові черв’яки, сніффери
Даний тип атак об’єднує різні сторонні програми. Призначення і принцип дії такої програми може бути надзвичайно різноманітним, тому немає сенсу докладно зупинятися на кожній з них. Всі ці програми об’єднує те, що їх головна мета — доступ і «зараження» системи.
Мережева розвідка

 Даний тип атаки сам по собі не передбачає будь-яке руйнівну дію. Розвідка має на увазі лише збір інформації зловмисником — сканування портів, запит DNS, перевірка захисту комп’ютера і перевірка системи. Зазвичай розвідка проводиться перед серйозною цілеспрямованої атакою.
Сніффінг пакетів

 Принцип дії заснований на особливостях роботи мережевої карти. Пакети, отримані їй, пересилаються на обробку, де з ними взаємодіють спеціальні додатки. В результаті зловмисник отримує доступ не тільки до інформації про структуру обчислювальної системи, а й до безпосередньо переданої інформації — паролів, повідомлень та інших файлів.
IP-спуфінг

 Тип атак на локальні мережі, коли комп’ютер зловмисника використовує IP-адреса, що входить в дану локальну мережу. Атака можлива, якщо система безпеки передбачає ідентифікацію типу IP-адреса, виключаючи додаткові умови.
Man-in-the-middle

 Зловмисник перехоплює канал зв’язку між двома додатками, в результаті чого отримує доступ до всієї інформації, що йде через цей канал. Мета атаки — не тільки крадіжка, а й фальсифікація інформації. Прикладом такої атаки може служити використання подібної програми для шахрайства в онлайн-іграх: інформація про ігровий подію, що породжується клієнтською частиною, передається на сервер. На її шляху ставиться програма-перехоплювач, яка змінює інформацію за бажанням зловмисника і відправляє на сервер замість тієї, яку відправила програма-клієнт гри.
Ін’єкція

 Також досить широкий тип атак, загальний принцип яких — впровадження інформаційних систем зі сторонніми шматками програмного коду в хід передачі даних, де код фактично не заважає роботі додатка, але одночасно виробляє необхідне зловмисникові дію.
Відмова в обслуговуванні

 DoS (від англ. Denial of Service) — атака, що має своєю метою змусити сервер не відповідати на запити. Такий тип атаки не має на увазі безпосередньо отримання деякої секретної інформації, але використовується для того, щоб паралізувати роботу цільових сервісів. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не в змозі обробити всі вхідні пакетні дані.

DDoS (від англ. Distributed Denial of Service — розподілена DoS) — підтип DoS атаки, що має ту ж мету що і DoS, але які проводяться ні з одного комп’ютера, а з декількох комп’ютерів в мережі. У даних типах атак використовується або виникнення помилок, згенерованих відмовою сервісу, або спрацьовування захисту, що викликає блокування роботи сервісу, а в результаті також і відмова в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп’ютерів об’єднуються, і кожен робить DoS атаку на систему жертви. Разом це називається DDoS-атака.

Способи захисту від мережевих атак.
Існує безліч способів захисту від зловмисників, в тому числі антивіруси, фаєрволли, різні вбудовані фільтри тощо. Самим же ефективним є професіоналізм користувача. Не слід відкривати підозрілі сайти (посилання), файли в листах від відправника типу «таємничий незнайомець». Перед відкриттям вкладень зі знайомих адрес слід запитувати підтвердження будь-яким іншим, ніж пошта, способом. Як правило, в цьому можуть допомогти курси підвищення комп’ютерної кваліфікаціі і грамотності, що проводяться практично в будь-якій організації. Це, втім, не замінить захисні механізми і програми. Варто пам’ятати, що технологія мережевих атак не стоїть на місці і тому слід якомога частіше здійснювати оновлення антивіруса, а також проводити повні перевірки комп’ютерів.
Способи виявлення мережевих атак

Брандмауер - це поєднання програмних та апаратних засобів, які ізолюють внутрішню мережу від Інтернету, пропускаючи одні пакети і блокуючи інші. Брандмауер дозволяє адміністратору мережі контролювати доступ до ресурсів корпоративної мережі, що здійснюється зовні, а також керувати ресурсами адміністрованої мережі , регулюючи вхідний та вихідний трафік.

Всі брандмауери можна поділити на три категорії: традиційні пакети фільтрівфільтри, що враховують стан з'єднання та шлюзи додатків.

Традиційні фільтри пакетів

Весь вхідний та вихідний трафік внутрішньокорпоративної мережі проходить через маршрутизатор, на якому відбувається фільтрація пакетів. Фільтр пакетів перевіряє кожну дейтаграмму, визначаючи як що з нею зробити згідно з правилами, встановленими адміністратором мережі. Адміністратор мережі конфігурує брандмауер, спираючись на політику, що діє в організації.


Файрвол фільтрує пакети: якщо пакет відповідає вимогам, то він проходить, в іншому разі - ні

Рішення , пов'язані з фільтрацією, зазвичай засновані на наступних факторах: вихідна чи кінцева ІР-адреса, тип протоколу в відповідному полі дейтаграми, флагові біти, тип повідомлення, різні правила, що характеризують вхідні і вихідні дейтаграми даної мережі та правила, що стосуються інтерфейсів.
Правила брандмауера реалізуються в маршрутизаторах за допомогою списків контролю доступу. Ці правила застосовуються для кожної дейтаграми, яка проодить через даний інтерфейс.

Фільтри, які враховують стан з'єднання

Дані фільтри відстежують ТСР-з'єднання і виконують фільтрацію на основі цієї інформації. Всі поточні ТСР-з'єднання відстежуються в спеціальній таблиці з'єднань. Якщо ж вхідний пакет не буде відноситись до поточних з'єднань, то він буде відкинутий брандмауером.


Приклад відстежування з'єднання за допомогою таблиці та правил

Брандмауер має змогу фіксувати створення нового з'єднання, закінчення з'єднання, та перевірити активність з'єднання.

Шлюз додатків

Для забезпечення більш адресної безпеки, брандмаузери повинні комбінувати при роботі пакетні фільтри та шлюзи додатків. Шлюз додатків переглядає не лише загаловки, але й приймає рішення щоод дотримання політки на основі данного прикладного рівня. Шлюз додатків - це сервер, що працює на прикладному рівні, і через цей шлюз мають протікати всі дані додатків (вхідні і вихідні). На одному хості може працювати одразу декілька шлюзів додатків, проте кожний шдюз - це самостійний сервер з власним набором процесів.
Файрвол шлюзу додатків Skype

Для виявлення багатьох типів атак нам потрібно виконувати поглиблену перевірку пакетів - аналізувати не лише поля заголовків, а й дані додатків, що містяться у пакеті. Шлюзи додатків можуть виконувати дану операцію, проте вони вирішюють цю задачу лише для конкретного додатку.


Системи виявлення вторгнень

Система виявлення вторгнень дозволяє виявити різні атаки, а саме трасування мережі, сканування портів, стеків ТСР, атаки відмови в обслуговуванні, застосування червів та вірусів, атаки на вразливості операційної системи чи окремих додатків.
В мережі організації можуть бути декілька таких систем. При одночасній роботі вони працюють узгоджено , пересилаючи повідомлення про підозрілий трафік в центральний процесор системи, який збирає та систематизує ці дані, а також повідомляє адміністратору якщо це необхідно.


Приклад застосування системи виявлення вторгнень (IDS)

Системи виявлення сигнатур можна розділити на дві категорії: ті, що працюють на основі перевірки сигнатур і ті, що працюють на основі виявлення аномалій.
Система, що працює на основі перевірки сигнатур, веде обширну базу даних сигнатур атак. Кожна сигнатура - це набір правил, що описують способи боротьби з вторгненнями. Дана система аналізує кожний пакет, що проходить повз неї, порівнюючи його вміст з сигнатурами бази данних. Якщо пакет співпадає з сигнатурою, то генерується попередження. Проте мінусом даного підходу є те, що система безсильна проти незареєстрованих атак, співпадіння сигнатур може бути зовсім не атакою, а також при порівнянні пакету з величезною колекцією сигнатур система може просто не впоратись з такою роботою і проґавити шкідливі пакети.

Система, що працює на основі виявлення аномалій, створює профіль надійного трафіку, який спостерігається у штатному режимі. Потім вона відстежує такі потоки пакетів, які мають, статичні дивацтва. Наприклад непропорціональне збільшення пакетів, чи різкий скачок інтенсивності сканування портів. Гарною стороною є те, що вони можуть відстежувати нові, ще не описані атаки, проте з іншої сторони, виключно важко розрізняти нормальній і статично незвичайний трафік.

Опис програми WideShark

Wireshark - продукт з відкритим вихыдним кодом, выльно поширюваний на підставі ліцензії GPL. Працює на більшості сучасних ОС (Microsoft Windows, Mac OS X, UNIX). 
Перехоплює трафік мережевого інтерфейсу в режимі реального часу. Wireshark може перехоплювати трафік різних мережевих пристроїв, відображуючи його ім'я (включаючи безпровідні пристрої). Подтримка того або іншого пристрою залежить від багатьох чинників, наприклад від операційної системи.Підтримує множину протоколів (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, Xll, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG і інші).
Збереження і відкриття раніше збереженого мережевого трафіку.Імпорт і експорт файлів з інших пакетних аналізаторів. Wireshark може зберігати перехоплені пакети у велику кількість форматів інших пакетних аналізаторів, наприклад: libpcap, tcpdump. Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor, AIX's iptrace.
Дозволяє фільтрувати пакети по множині критерій.
Дозволяє шукати пакети по множині критерій.
Дозволяє створювати різноманітну статистику.

Визначити DDoS атаку за допомогою програми можна таким способом. Можна відфільтрувати окремі адреси джерел пакетів (на малюнку це не зображено), та проаналізувати колонки Time та DestPort. Якщо значення DestPort співпадають, то це явна ознака DDoS атаки. Ознайомтеся також зі стовпцем Time. Зауважте, як мало часу між кожним пакетом - всього тисячі секунд. Це ще одина ознака атаки DoS. 


Приклад відстеження DDoS атаки

При аналізі пакетів корисно також переглядати вкладку Flags. Там знаходиться прапор фрагментації. Цей прапор повідомляєодержуючій системі,чи пакет фрагментований чи ні. Зазвичай встановлено значення "Don't fragment", за винятком випадків, коли пакет фрагментований (тоді він встановлений на "More fragments"). У нашому випадку не встановлено жодного прапора. Це серйозна ознака шкідливого трафіку, оскільки для звичайного трафіку будь-який з цих прапорів буде встановлено, але ніколи не будепустим.
Флаг фрагментації обраного пакету не встановлений
 









За допомогою фільтра arp.duplicate-address-frame можна відстежувати прояви спуфінгу. На малюнку зображено приклад, у якому різні ІР-адреси мають однакові МАС-адреси.


Якщо у вашій мережі є зомбі-машина, заражена трояном, то ви можете легко її виявити, наприклад, як спам-бот, якщо ви бачите тисячі SMTP-зв'язків, запущених протягом однієї години.

Основними фільтрами пакетів є:
ip.dst - цільова ip адреса;
ip.src - ip адреса відправника;
ip.addr - ip відправника або адресата;
ip.proto - протокол;
tcp.dstport - порт призначення;
tcp.srcport - порт відправника;
http.request_url - адреса сайту, що запитується.
Для індикації відносин між полем і значенням у фільтрі можна використовувати такі оператори:
== - дорівнює;
! = - не дорівнює;
<- менше;
> - більше;
<= - менше або дорівнює;
> = - більше або дорівнює;
matches - регулярне выражение;
contains - містить.
Для об'єднання декількох виразів можна застосувати:
&& - обидва вирази повинні бути вірними для пакету;
|| - може бути вірним одним из виразів.

Іноді також може бути корисним перегляд ТСР потоку певного потоку. Це можна зробити клацнувши правою кнопкою миші на пакеті та обрати TCP Stream.

Наприклад, за допомогою цієї ж програми можна дізнаватись про дані такі як логіни та раполі. Для прикладу можна зайти на будь-який сайт та авторизуватись. Після цього перейти в програму та переглянути яку ми зумовили активність. За допомогою фільтруhttp.request.method == “POST” віднайдемо пакет з даними та відкриємо його ТСР потік. Після цього в новому вікні з'явиться текст, який в коді відновлює вміст сторінки. Знайдемо поля «password» і «user», які відповідають паролю та імені користувача. У деяких випадках обидва поля будуть легко читатися і навіть не зашифруватися, але якщо ми намагаємося захопити трафік при зверненні до дуже відомих ресурсів типу: Mail.ru, Facebook, Вконтакте тощо, то пароль буде закодований. 


Опис програми snort

Snort відноситься до вільного програмного забезпечення та є потужним інструментом запобігання вторгнень (IPS) з відкритим вихідним кодом. 

Режими роботи snort

Розробники виділяють три режими роботи snort:
  • режим сніфера;
  • режим реєстратора пакетів;
  • режим мережевої системи виявлення атак.
У режимі сніфера snort просто виводить в стандартний потік виведення результатів вміст (частково або повністю) пакетів, які перехоплює в мережі. У режимі реєстратора пакетів - зберігає перехоплені пакети в зазначеному каталозі файлової системи. У режимі мережевої системи виявлення атак - аналізує трафік мережі на відповідність попередньо сформульованим користувачем правил і виконує визначені користувачем дії в разі такої відповідності.
У всіх режимах користувач може задати правила фільтрації мережевого трафіку. Джерелом даних може бути не конкретна мережа, а попередньо сформований реєстраційний файл. Snort може одночасно перебувати в будь-яких двох з цих режимів або в усіх трьох одночасно.

Режим сніфера

Покажчиком режиму сніфера є наявність в командному рядку snort опцій -v, -d або -e. Опція -v дозволяє вивести IP-, TCP-, UDP- і ICMP-заголовки пакетів.Опція -d - дані пакетів. Опція -e - Ethernet-заголовки.

#snort -vd tcp

Виводить заголовки і дані TCP-пакетів.

#snort -v -d icmp

Те ж саме, але для ICMP-пакетів.

Режим реєстратора пакетів

Покажчиком режиму реєстратора пакетів є наявність в командному рядку опції -l.

#snort -v -l log

Реєструє IP-, TCP-, UDP- і ICMP-заголовки всіх пакетів в каталозі log (причому для кожного пакета створюється окремий текстовий файл).

#snort -vd -r log \ packet.log udp

Показує заголовки і дані UDP-пакетівякі були попередньо зареєстровані в файлі log \ packet.log.

Режим мережевої системи виявлення атак

Покажчиком режиму мережевої системи виявлення атак є наявність в командному рядку опції -c.
#snort -c snort.conf


Запускає snort в режимі мережевої системи виявлення атак відповідно до правил, визначених у файлі snort.conf.





Microsoft Network Monitor

Інструмент Network Monitor, реалізований у Windows та Microsoft Systems Management Server (SMS), дозволяє виконувати моніторинг мережевого трафіку. Моніторинг можна проводити в реальному часі або, перехвативши і зберегти мережевий трафік, аналізувати його пізніше. Збережені данні можуть бути використані для усунення неполадок в локальних та розподілених мережах, а також практично в усіх пристроях, які застосовують для комунікацій протоколу TCP / IP. Network Monitor має три основні області застосування.
  • Пошук несправностей у мережевих з'єднаннях. Це основна область застосування мережевого монітора. Якщо у вас є два комп'ютери, при взаємодії яких виникають труднощі, можна скористатися функцією Network Trace для з'ясування причин проблеми. Мережевий монітор також використовується для перегляду пакетів TCP / IP, які пересилаються між двома пристроями та даними, що містяться в кожному з них.
  • Оцінка мережевої продуктивності. Мережевий монітор дає ясну та повну картину роботи мережі. Якщо виникає підозра, що з точки зору мережевої продуктивності є уразливі місця, можна скористатися інформацією Network Monitor - наприклад, статистикою про мережеві навантаження та даними про джерела мережевого трафіку - для пошуку таких слабких місць. .
  • Пошук пристрою, що ініціював повідомлення "маяка". Так званий beaconing - процес видачі комп'ютерам в мережі кільцевої топології сигналу про те, що передача маркера перервана через серйозну помилку. До появи комутованих мереж за допомогою Network Monitor відслідковувалися проблеми в роботі пристроїв мережевих пристроїв. Момент мережевого монітора можна попередньо використовувати для пошуку фрагменованих або руйнувальних пакетів, що генеруються несправними пристроями, проте для цього слід встановити повну версію Network Monitor, яка підтримує роботу віддалених агентів і захоплює мережеві пакети в сегменті навіть в тому випадку, коли трафік не призначений для станції, на якій запущено мережевий монітор. 

Відображення перехоплених пакетів

Детальна інформація з фрейма

Comments

Post a Comment

Popular posts from this blog

Створення локальної мережі у Cisco packet tracer

Image
Створення з'єднання зірка Для початку треба розташувати всі елементи на формі. Розташуємо комутатор та 5 комп'ютерів. Після цього з'єднаємо комп'ютери з комутатором кабелем типу вита пара. Спочатку при з'єднанні індикатори на кінцях кабелю зі сторони комутатора будуть мати оранжевий колір. Через деякий час коли комутатор сам налаштується індикатори на кінцях кабелів мають світитись зеленим. Наступним кроком буде встановлення ІР-адрес у комп'ютерах мережі. Оберемо інтервал 192.168.1.2 - 192.168.1.6. Маску встановимо 255.255.255.0. Зробити це можна перейшовши на вкладку "Desktop" і обравши пункт IP Configuration. Після цього мережа буде здатна передавати пакети. Виконати це можна у режимі симуляції. Як видно простий пакет було успішно відправлено. Після перевірки виходимо з режиму симуляції для подальшої роботи з мережею. Додавання іншої мережі та з'єднання двох мереж роутером Додамо маршрутизатор та елементи ін...
Read more

Топологія комп'ютерних мереж

Image
Базові топології мережі: 1. Сітчаста  топологія В комірчастої мережі, пристрої з'єднані з безліччю з'єднань між вузлами мережі.  В топології сітки кожен вузол має зв'язок з кожним іншим вузлом у мережі.  Існує два типи мережевих топологі й: Повна сітчастна топологія:  виникає, коли кожен вузол має схему, що з'єднує її з кожним іншим вузлом у мережі.  Повна сітка дуже дорога для реалізації, але дає найбільшу кількість резервування, отже, якщо один з цих вузлів не вдається, мережевий трафік може бути спрямований до будь-якого іншого вузла.  Повна сітка, як правило, призначена для магістральних мереж. Часткова сітка топологія:  менш дорога для реалізації і дає меншу надлишковість, ніж повна топологія сітки.  З частковою сіткою деякі вузли організовані в повній схемі, але інші з'єднуються лише з одним або двома в мережі.  Часткова топологія сітків зазвичай зустрічається в периферійних мережах, підключених до по вної сітчастий магістра...
Read more

Cisco Packet Tracer 7. та його можливості. Розумний дім

Image
Всі версії Cisco Packet Tracer починаючи з 7 підтримують Internet of Things (Інтеренет речей). Інтеренет речей - це  концепція  мережі , яка складається з пристроїв, які  здійснюють обмін даними між фізичним світом і комп'ютерними системами, за допомогою використання стандартних  протоколів  зв'язку. Отже розглянемо, які можливості надає нам Cisco Packet Tracer. Поглянемо на панель елементів, що зображена на рис.1 : Рисунок 1. Панель елементів 1 - мережеві пристрої 2 - кінцеві пристрої 3 - компоненти 4 - з'єднання 5 - різне 6 - з'єднання мультикористувача Ми розглянемо вміст вкладок кінцевих пристроїв та компонентрів. На вкладці кінцевих пристроїв, що зображена на рис.2, ми маємо декілька категорій:  Рисунок 2. Кінцеві пристрої 1 - кінцеві пристрої (ПК, смартфон, телефон, сервер, телевізор); 2 - дім, який містить такі елементи, зображені на рис.3: Рисунок 2. Елементи розумного дому розумний кондиціонер; розумну кавова...
Read more