Основні поняття безпеки мереж

Работа добавлена: 2018-09-28






Тема18. Основні поняття безпеки мереж.

Тип заняття:лекційне.

Цілі заняття:

Вивчити основні поняття безпеки мереж, види загроз.

Матеріали по заняттю:Література:[Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы.\ - СПб.: Питер. 2011, - с.829-845.

В. Чернега, Б. ПлаттнерКомпьютерные сети: Учебное пособие для студентов вузов. – Севастополь, 2006.].

План заняття:

І. Привітання.

ІІ. Повторення матеріалу попередньої лекції.

ІІІ. Викладення матеріалу лекції.

ІV. Узагальнення результатів заняття.

ІІ. Питання для повторення:

  1. Які типи мереж вам відомі?
  2. Який рівень моделіOSI відповідає за шифрування даних?
  3. Які мережі можуть забезпечити найбільший рівень захисту інформації?

ІІІ. Викладення нового матеріалу.

Уразливості комп'ютерних мереж та  їхні причини.

Питання безпеки комп'ютерних мереж в мережевих технологіях сьогодні є одним з найважливіших, тому що проникнення зловмисника в мережу часом може виявитися згубним для самого існування організації. У більшості випадків оволодіння мережею означає те ж саме, що й можливість перехоплення поштових повідомлень, фінансових даних, перенаправлення потоку інформації на неавторизовані системи.

У цей час для кожної корпоративної мережі необхідно мати чітку політику в області безпеки. Ця політика розробляється на основі аналізу ризиків, визначення критично важливих ресурсів і можливих загроз. Політикою безпеки можна назвати й прості правила використання мережних ресурсів, і детальні описи всіх з'єднань і їхніх особливостей. Стандартне визначення, викладене в RFC 2196, що вважається трохи вузьким і обмеженим, викладає політику безпеки в такий спосіб: "Політика безпеки - це формальний виклад правил, яким повинні підкорятися обличчя, що одержують доступ до корпоративної технології й інформації".

Політика безпеки включає правила користування комп'ютером і дії при виявленні порушення системи безпеки. Taк у правилах користування комп'ютером обмовляється наступне: на центральному сервері повинні щодня створюватися резервні копії даних; забороняється відключати антивірусне забезпечення; забороняється відключати брандмауер; користувальницькі паролі повинні містити 6...8 знаків і мати як мінімум один небуквений символ і т.д. У діях персоналу при виявленні їм порушень системи безпеки пропонується, що про всі порушення варто негайно інформувати службу безпеки й випливати її вказівкам, при підозрах про наявність вірусу необхідно негайно ж сповістити про це в; службу підтримки мережі.

Зловмисники часто перевіряють мережі організацій на можливість проникнення в них шляхом методичного сканування систем на наявність уразливих місць. При цьому вони найчастіше використають засоби автоматичного зондування, тобто програми, які послідовно переглядають(сканують)всі комп'ютери, приєднані до мережі організації. Такі дії зловмисників приводять до порушення нормальної роботи організацій і підприємств, а також завдають шкоди їхньої репутації. У деяких випадках організації змушені були тимчасово отсоединиться від Інтернету, і витратити значні засоби для рішення виниклих проблем з конфігурацією хостов і мережі.

Одна з основних причин уразливості мереж - ігнорування розроблювачами при проектуванні мережі Інтернет вимог безпеки.

Іншими причинами уразливості мереж є наступні:

легкість спостереження за каналами й магістралями- більшість трафика Інтернет не зашифровано; електронна пошта, паролі й передані файли можуть бути перехоплені, після чого зловмисники можуть використати паролі для проникнення в системи;

відсутність політики безпеки- багато мереж можуть бути сконфигурированы через незнання таким чином, що будуть дозволяти доступ до них з боку Інтернету, багато мереж допускають використання більшого числа сервісів TCP/IP, чим це потрібно для діяльності їхньої організації, при цьому вони не намагаються обмежити доступ до інформації про свої комп'ютери, що може допомогти зловмисникам проникнути в мережу;

складність конфігурування- засобу керування доступом у хостах найчастіше є складними в настроюванні й контролі за ними; неправильно сконфигурированные засобу часто приводять до неавторизованого доступу.

Проникнення в комп'ютерну систему здійснюється у формі атак.Атака- це подія, при якому зловмисник ("хакер", або "зломщик") намагається проникнути усередину чужої комп'ютерної системи або зробити стосовно неї які-небудь зловживання.

Категорії інформаційної безпеки

Інформація з погляду інформаційної безпеки має наступні категорії:

конфіденційність- конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії визначається як розкрадання або розкриття інформації;

цілісність- інформація існує у вихідному виді, тобто при її зберіганні або передачі не було зроблено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення;

автентичність- джерелом інформації є саме та особа, що заявлена як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення;

апеллюємість- гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто іншої; відмінність цієї категорії від попередньої в тім, що при підміні автора, хтось іншої намагається заявити, що він автор повідомлення, а при порушенні апеллируемости - сам автор намагається відмовитися від своїх слів, підписаних їм один раз (категорія, досить часто застосовувана в електронній комерції).

Відносно технічних характеристик інформаційних систем застосовуються наступні параметри й показники:

надійність -імовірність того, що система поводиться в штатному й аварійному режимах так, як закладено при її проектуванні;

контроль доступу- гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються;

контрольованість- можливість проведення повноцінної перевірки будь-якого компонента програмного комплексу в будь-який момент часу;

контроль ідентифікації -імовірність того, що клієнт, підключений у цей момент до системи, є саме тим, за кого себе видає;

стійкість до навмисних збоїв- імовірність того, що при навмисному внесенні помилок у межах заздалегідь обговорених норм система буде поводитися так, як установлено технічним завданням на проектування.

Шляхи проникнення порушників у мережу

Фізичне вторгнення.Якщо порушник має фізичний доступ до комп'ютера (тобто він може використати клавіатуру або частину системи), то можливо проникнення його в систему. Методи можуть бути різними: від використання спеціальних привілеїв, які має консоль, до можливості використання частини системи й зняття вінчестера (і читання/запису його на іншій машині).

Системне вторгнення.Порушник уже має обліковий запис у системі як користувач із невисокими привілеями. Якщо в системі не встановлені самі останні патчи захисти, у порушника є гарний шанс спробувати зробити певну атаку для одержання додаткових адміністративних привілеїв.

Вилучене вторгнення.Зловмисник намагається проникнути в систему через мережу з вилученої машини. Порушник діє без яких-небудь спеціальних привілеїв. Існує кілька видів такий хакерской діяльності. Наприклад, порушник витрачає набагато більше часу й зусиль, якщо між ним і обраною машиною встановлений межсетевой захисний екран.

Одним з розповсюджених способів доступу до системи єзлом пароля.Порушники намагаються використати всі слабкі сторони цього виду захисту. До них ставляться наступні.

Дійсно слабкі паролі.Більшість людей використають як паролі свої імена, імена своїх дітей, дружина/чоловік і жінка, любимо-го(ой) або моделі машини. Є також користувачі, які як пароль вибрали слово "пароль" або "password" або взагалі ніякого слова. У цілому існує більше 30 можливостей, якими може скористатися порушник для підбора паролів.

Атака по словнику.Зазнавши невдачі у випадку вищевказаної атаки, порушник може потім спробувати використати "атаку по словнику". У цьому випадку зловмисник намагається використати програму, що формує як пароль кожне можливе слово, наведене в словнику. Атаки по словнику можуть здійснюватися або шляхом кількаразові реєстрації в атакує системе, що, або шляхом збору шифрованих паролів іспроб знайти їм незашифровану пару. Для цих цілей порушники, як правило, мають копію російського й англійського словників, а також словники інших іноземних мов. Всі вони застосовують додаткові словники, як з іменами, так і зі списками найпоширеніших паролів.

Подбор пароля.Аналогічно атаці по паролі порушник намагається використати всі можливі комбінації символів. Короткий пароль, що складається з 4-х букв у нижньому регістрі, може бути зламаний за кілька секунд (приблизно полмиллиона можливих комбінацій). Довгий семизначний пароль, що складається із символів у нижньому й верхньому регістрі, а також чисел і розділових знаків (10 трильйонів комбінацій) може зажадати не один місяць для злому, розраховуючи на те, що пристрій перебору може здійснювати мільйон комбінацій у секунду.

Перехоплення незахищеного трафика.На традиційному Ethernet можливо розмістити перехоплювач(sniffer),щоб перехоплювати весь трафик на сегменті. У цей час це стає усе більше й більше важким, тому що багато організацій використають комутирують сети, що, що складаються з багатьох ізольованих сегментів. Однак у комутирують сетях, що, можливо встановити сниффер на сервері, тим самим одержати доступ до всій циркулюючій у мережі інформації. Наприклад, зловмисник може не знати пароля певного користувача, але перехоплення пароля, переданого по протоколі Telnet дозволяє йому одержати доступ до вилученого вузлу.

Яким же образом порушники одержують паролі? Для цього вони можуть використати наступні шляхи.

Перехоплення відкритого тексту.Велика кількість протоколів (Telnet, FTP, HTTP) виконують передачу незашифрованих паролів при обміні по мережі між клієнтом і сервером. Порушник за допомогою аналізатора протоколів може "слухати" мережа в пошуках таких паролів. Ніяких подальших зусиль не 1ребуется; порушник може почати негайно використати ці паролі для реєстрації в системі (мережі). Прикладом аналізатора протоколів є програмаdsniff,що забезпечує можливість збору різних паролів, переданих через локальну мережу. Використовуючи програму dsniff, можна зібрати користувальницькі паролі служб FTP, Telnet, SMTP, HTTP, POP і ряду інших.

Перехоплення зашифрованого тексту.Більшість протоколів, однак, використає деяке шифрування паролів. У цих випадках порушникові буде потрібно провести атаку по словнику або "підбор пароля" для того, щоб спробувати провести дешифрування. Помітимо, що клієнти мережі не знають про присутність порушника, оскільки він є повністю пасивним і нічого не передає по мережі. Злом пароля не вимагає того, щоб передавати що-небудь у мережу, власний комп'ютер порушника використається тільки для аутентификации пароля законного користувача.

Повторне використання.У деяких випадках порушникам немає необхідності розшифровувати пароль. Вони можуть повторно передати зашифрований пароль у процесі аутентификации.

Крадіжка файлу з паролями.Вся база даних про паролі користувачів звичайно зберігається в одному файлі на диску. В ОС UNIX цим файлом є /etc/passwd (або деякий різновид цього файлу), а в ОС Windows NT це SAM-файл. У кожному разі, як тільки порушник одержує цей файл, він може запускати програми злому (описані вище) для того, щоб знайти слабкі паролі усередині даного файлу.

Спостереження.Одна із традиційних проблем при захисті паролів полягає в тім, що паролі повинні бути довгими й важкими для розшифровки. Однак часто такі паролі дуже важко запам'ятати, тому користувачі їх записують. Порушники можуть часто обшукувати робочі місця користувачів для того, щоб знайти паролі, записані найчастіше на невеликих клаптиках паперу. Вони можуть також підглядати паролі, коштуючи за спиною користувача.

У загальному випадку в будь-якій процедурі вторгнення зловмисника в інформаційну систему можна виділити п'ять стадій (малюнок 18.1).

Малюнок 18.1 - Процедура реалізації типового вторгнення

На початковій стадії порушник здійснює збір інформації про об'єкт атаки, щоб на її основі спланувати подальші етапи вторгнення. Цим цілям може служити, наприклад, інформація про тип і версію ОС, установленої на хостах інформаційної системи; список користувачів, зареєстрованих у системі; відомості про використовуваному прикладний ПО й т.д. Стадія збору інформації може підрозділятися назовнішнюйвнутрішню розвідку.

Призовнішній розвідціпорушники збирають якнайбільше інформації про атакує системе, що, нічим себе не видаючи. Вони можуть робити це, збираючи доступну інформацію, або маскуючись під звичайного користувача. На цій стадії їх неможливо виявити. Порушник буде виглядати "хто є хто", щоб зібрати якнайбільше інформації про потенційну жертву. Нападаючий може пройтися по DNS-таблицях (застосовуючи програмиnslookup, digабо інші утиліти, використовувані для  роботи з DNS), щоб знайти імена машин досліджуваної мережі.

На стадіївнутрішньої розвідкипорушник використає могутніші способи для одержання інформації, але як і раніше не робить нічого шкідливого. Він може пройти через всі Web-сторінки інформаційної системи й подивитися CGI-скрипты, які дуже часто піддаються хакер-ским атакам. Можливий запуск утилітиpingдля виявлення активних комп'ютерів у мережі. У процесі розвідки можливе сканування UDP/TCP-портів на намічені для атаки комп'ютерах для того, щоб визначити доступні сервіси. Нападаючий може запустити утиліти типуrpcinfo, showmount, snmpwalkі т.д. для того, щоб визначити, які служби є доступними. У цей момент порушник веде "нормальну" діяльність у мережі й немає нічого, що могло б бути класифіковане як порушення.

На етапі вторгнення порушник одержує несанкціонований доступ до ресурсів тих хостов, на які відбувається атака. Порушник перетинає границю й починає використати можливі уразливості на виділених комп'ютерах. Він може спробувати скомпрометувати CGI скрипт, посилаючи командиshellу полях вхідних даних. Порушник може спробувати використати эксплоиты{exploits)або добре відомі уразливості "переповнення буфера", посилаючи велику кількість даних, або почати перевірку облікових записів з підбира легко (або порожніми) паролями.Эксплоиты- це програми, що використають помилки в якомусь конкретному програмному забезпеченні. Вони застосовуються для одержання доступу до комп'ютера, головним чином із правами суперкористувача.

Послу етапу вторгнення наступає стадія атакуючого впливу. Протягом цієї стадії реалізуються мети, заради яких і вживала атака. Наприклад, якщо хакер зміг одержати доступ до облікового запису звичайного користувача, те потім він буде намагатися робити подальші дії для одержання доступу до облікового запису супервізораroot/admin.Потім може піти порушення працездатності інформаційної системи, крадіжка конфіденційної інформації, видалення або модифікація даних і т.д.

У наступній стадії зловмисник прагне розвити атаку, тобто розширити коло жертв атаки, щоб продовжити несанкціоновані операції на інших складового об'єкта напади. Стадія завершення вторгнення характеризується прагненням атакуючі виконати дії, спрямовані на видалення слідів його присутності в інформаційній системі шляхом виправлення журналів реєстрації. Хакер буде намагатися використати систему як опорна площадка для проникнення в інші системи або комп'ютери, оскільки більшість мереж мають незначне число засобів для захисту від внутрішніх атак. Нижче розглянуті більш докладно способи реалізації цих стадій.

Способи сканування ресурсів мережі

Послідовне просматривание (англ.sweeping)ресурсів комп'ютерної мережі виробляється порушником з метою розвідки й попереднього збору інформації на першій стадії вторгнення.

До найпростішого способу послідовного просматривания(сканування)ставиться процедура, позначуванаPing sweeps.Протягом цього процесу сканування утилітоюpingпроглядається діапазон IP-адрес об'єкта нападу з метою визначення активних комп'ютерів. Більше складні сканери використають інші процедури, наприклад SNMP sweep.

Для зондування відкритихTCP-портіву пошуках сервісів, які може використати порушник, він застосовує процедуру ТСР-сканирования. Сеанси сканування можуть використати звичайні ТСР-соединения. Існують так звані сховані сеанси сканування, що застосовують наполовину відкриті з'єднання (для того, щоб захистити їх від реєстрації в журналах) або FIN-сеанси сканування (ніколи не відкривають порт, але тестируют, якщо щось прослуховується). Сеанси сканування можуть бути послідовними, випадковими, або сконфигурированы по переліку портів. Процес сканування UDP-портів трохи складніше, у зв'язку з тим, що UDP-протокол ставиться до дейтаграммным протоколів, тобто без установлення віртуального з'єднання. СутьUDP-скануванняполягає в тім, щоб послати "сміттєвий" UDP-пакет до наміченого порту. Більшість машин будуть реагувати за допомогою ICMP-повідомлення"destination port unreachable", щовказує, що на даному порту немає сервісу, що перевіряє. Однак багато комп'ютерів придушують ICMP-повідомлення, тому зловмисник не в змозі здійснювати дуже швидке UDP-сканування.

Для ідентифікації використовуваної в мережіопераційної системи(ОС) порушники роблять посилку некоректних ICMP- або ТСР-пакетов. Стандарти звичайно встановлюють, яким образом комп'ютери повинні реагувати на легальні пакети, тому машини мають тенденцію бути однаковими у своїй реакції на припустимі вхідні дані. Однак стандарти упускають реакцію на неприпустимі вхідні дані. Таким чином, унікальні дії кожної ОС на неприпустимі вхідні дані дозволяють зловмисникові зрозуміти, під чиїм керуванням функціонує обраний комп'ютер. Цей тип діяльності має місце на нижньому рівні (начебто схованих сеансів TCP-сканування), на якому аналізовані системи не реєструють події. Зловмисникові відомо, що існує програмаNmap,позво-ляяющая адміністраторам сканувати окремі хосты й цілі мережі, визначати підтримувані типи сервісу й інші параметри. Nmap підтримує безліч методів сканування: UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), ICMP (ping sweep), FIN, ACK sweep, SYN sweep, IP Protocol, і ін. Крім звичайного сканування програма може визначати тип операційної системи вилученого хоста, виконувати сховане сканування, паралельне сканування, детектирование фільтрів і ряд інших дій.

Про наявність межсетевого захисного екрана в системі зловмисник може довідатися за ознаками його переконфігурування. Для цього він посилає великий потікping-пакетівна хост і відзначає, що через якийсь час доступ припинився{pingне проходить). За цією ознакою атакуючий може зробити вивід, що система виявлення вторгнень провела переконфігурацію межсетевого екрана, установивши нові правила заборони ping на хост. Однак їсти способи обійти цей захист. Зловмисник, атакуючи мережу, може задавати як адреса відправника IP-адреси відомих фірм (атака -ipspoofing).У відповідь на потік ping-пакетів механізм переконфігурування межсетевого екрана закриває доступ на сайти цих фірм. У результаті виникають численні телефонні дзвінки користувачів "закритих" компаній у службу підтримки сайту, і адміністратор змушений відключити механізм переконфігурації (чого й домагається зловмисник).

Крапкові атаки і їхні сценарії

У цей час найпоширенішими є крапкові атаки типуDo{Denial of Service)і розподілені атакиDDo{Distributed Do),спрямовані на відмову в обслуговуванні мережних запитів. Атаки Do відрізняються від комп'ютерних атак інших типів. Вони не призначені для одержання доступу до атакує сети, що, або для добування із цієї мережі якої-небудь інформації. Атака Do робить об'єкт нападу недоступним для звичайного використання за рахунок перевищення припустимих меж функ ционирования мережі, операційної системи або додатка. У випадку використання деяких серверних додатків (таких як Web- або FTP-сервер) атаки Do можуть полягати в занятті всіх з'єднань, доступних для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів.

Тяким образом, атака Do порушує або повністю блокує обслуговування легітимних користувачів, мереж, систем або інших ресурсів. DoS-атака ставиться до крапкового (зосередженим), тому що надходить із одного джерела (крапки). У випадку розподіленої DDoS-атаки, напад здійснюється з безлічі джерел, розподілених у просторі й найчастіше приналежним різним мережам.

Більшість атак Do опирається не на програмні помилки або пролому в системі безпеки, а на загальні слабості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповняючи її небажаними й непотрібними пакетами або повідомляючи помилкову інформацію про поточний стан мережних ресурсів.

Насичення пропускної здатності.Найбільш підступною формою DoS-атак є насичення пропускної здатності{bandwidth consumption).По суті, зломщики можуть заповнити всю доступну смугу пропущення певної мережі. Це можна здійснити й у локальній мережі, однак найчастіше зловмисники захоплюють ресурси удаленно. Для реалізації такої атаки використається два сценарії.

Сценарій 1.Зломщик може наситити мережне підключення цільової системи, скориставшись більше широкою смугою пропущення власної системи. Такий сценарій цілком можливий, якщо зловмисник має мережне підключення типу Т1/Е1 (1,544 / 2,048 Мбит/с) або більше швидким, і лавинно заповнює мережне з'єднання із пропускною здатністю 56 або 128 кбит/с. Цей тип атак не обмежується можливістю застосування до низкоскоростным мережних з'єднань. На практиці зустрічалися ситуації, коли зломщики одержували доступ до мереж зі смугою пропущення більше 100 Мбит/с. Для атаки на Web-вузол і насичення його каналу зломщикові досить мати канал Т1 або Е1.

Сценарій2.Зломщик підсилює атаку Do, втягуючи в процес насичення цільового мережного з'єднання кілька вузлів. Використовуючи інші вузли для посилення атаки Do, зловмисник, маючи апаратури з невисокою швидкістю передачі, може наситити пропускну здатність навіть 100 Мбит/с.

Захват системних ресурсів.Атака, що приводить до недоліку ресурсів{resource starvation),відрізняється від попередньої атаки тим, що вона спрямована на захвата системних ресурсів, таких як центральний процесор, пам'ять, диски або інші системні процеси. Найчастіше зломщик має легітимний доступ до обмеженої кількості системних ресурсів. Однак він уживає спробу захопити й додаткові ресурси. Внаслідок цього система або законні користувачі будуть випробовувати недолік у спільно використовуваних ресурсах. Атаки такого типу звичайно приводять до неприступності ресурсу, і отже, до краху системи, переповненню файлової системи або зависанню процесів.

Помилки програмування(programming flaw)полягають у нездатності додатка, операційної системи або логічної схеми обробляти виняткові ситуації. Звичайно ці ситуації виникають при передачі уразливому елементу несанкціонованих даних. Зломщики, багаторазово передаючи пакети, у яких не враховуються рекомендації документів RFC, намагаються визначити,  чи здатний мережний стек упоратися із цими виключеннями або це приведе до паніки ядра(kernel panic),або краху всієї системи. Для певних додатків, яким потрібні користувальницькі вхідні дані, зломщики будуть передавати строкові дані довжиною в тисячі рядків. Якщо програмою використається буфер фіксованої довжини, скажемо, 128 байт, то зловмисники спробують згенерувати умову переповнення буфера й викликати крах додатка. Іноді зломщики можуть також змусити процесор виконати привілейовані команди. Сумно відома атака за назвою Pentium fOOf ґрунтувалася на тім, що користувальницький процес, виконавши некоректну інструкцію 0xf00fc7c8, приводив до краху будь-якої операційної системи.

Атаки на маршрутизатори й сервери DNS.Атаки Do на маршрутизатори полягають у зміні або внесенні нових записів таблиці маршрутизації, що приводить до припинення обслуговування легітимних систем або мереж. Більшість протоколів маршрутизації, такі як PJP версії 1(Routing Information Protocol)і BGP(Border Gateway Protocol),не мають взагалі або використають слабкі алгоритми аутентификации. Це надає зловмисникам можливість змінювати маршрути шляхом вказівки помилкових IP-адрес. У результаті таких атак трафик цільової мережі маршрутизируется через мережу зломщика або в неіснуючу мережу.

Атаки Do, спрямовані на сервери DNS, також є досить чутливими. Більшість таких атак приводить до кэшированию на цільовому сервері фіктивних адрес. Коли сервер DNS виконує зворотний пошук, зломщик може перенаправляти його на необхідний вузол або в деяких випадках в "чорну діру". Існують кілька типів подібних атак, які приводять до того, що більші вузли протягом тривалого часу виявляються недоступними.

Атака за допомогою переповнення пакетами SYN.Перше ніж атака Smurf не стала такий популярної, найбільш руйнівної вважалася атака SYN Flood, що використає переповнення сервера пакетами SYN. Як уже згадувалося в розділі 4, ініціалізація з'єднання TCP являє собою процес, що складається із трьох кроків (малюнок 18.2). У звичайній ситуації пакет SYN відсилається з певного порту станції А на конкретний порт станції Б, що перебуває в стані очікування запиту з'єднання LISTEN(Слухає).Після прийому пакета SYN система Б передає станції А пакет підтвердження синхронізації SYN/ACK. У цей момент потенційне з'єднання системи Б переходить у стан SYNRECV - очікування прийому пакетів-квитанції від станції А. Якщо процес проходить нормально, станція А передає назад пакет АСК і з'єднання переходить у стан ESTABLISHED(Створене).

Мал. 18.2 - Процедура узгодження параметрів при встановленні Тср-зєднання.

ІV. Узагальнення результатів заняття.

Висновки:

Проникнення в комп'ютерну мережу здійснюється у формі атаки, що представляє собою дії, у результаті яких зловмисник намагається одержати доступ до ресурсів мережі або порушити її функціонування.

Проникнення порушника в систему здійснюється шляхом фізичного, системного або вилученого вторгнення. Одним з розповсюджених способів вторгнення є злом паролів.

Зловмисники використають слабкі сторони парольного захисту, зокрема, слабкі паролі, здійснюють атаки по словнику, виконують підбор паролів, перехоплюють трафик з даними про пароль, здійснюють крадіжку файлів з паролями.

Одним з розповсюджених способів розвідки є процедура сканування мереж з метою виявлення активних комп'ютерів, відкритих TCP- і UDP-портів.

Для ідентифікації використовуваної мережний ОС виробляється посилка некоректних ICMP- або Тср-пакетов.

Для порушення функціонування мережі зловмисники широко застосовують зосереджені Do- і розподілені DDoS-атаки, спрямовані на порушення роботи або повна відмова обслуговування атакує сети, що, або мережного ресурсу. Це здійснюється шляхом насичення пропускної здатності мережі, захвата системних ресурсів, генерування помилкових команд або підміни маршрутів.

Розподілені атаки виконуються шляхом "зомбирования" комп'ютерів інших мереж.

Виявлення вторгнення зловмисників може здійснюватися на основі виявлення аномалій поводження порушника: ріст помилок ідентифікації й аутентификации, підвищена інтенсивність використання мережних служб і звертань до сервера користувачів, порушення правил обміну, ненормальне поводження програмного забезпечення комп'ютера й мережних компонентів.

Іншим способом виявлення вторгнень є сигнатурний аналіз. Сигнатура являє собою шаблон різновиду комп'ютерної атаки (рядок символів, семантичне вираження або формальна модель, послідовність переходів комп'ютерної системи).

До перспективних методів виявлення вторгнень ставляться експертні системи з використанням елементів штучного інтелекту й методи, засновані на біологічних моделях.

Для захисту комп'ютерних систем від зловмисників розроблені системи виявлення вторгнень IDS (Intrusion Detection Systems). Вони ис користуються для виявлення не тільки зовнішніх, але й внутрішніх порушників. Розрізняють пасивні й активні IDS. Перші тільки фіксують вторгнення, а другі намагаються його зупинити.

Ефективним засобом підвищення комп'ютерної безпеки є використання захисної оболонки SSH. Весь трафик, переданий по протоколі SSH, шифрується. Для організації безпечного доступу застосовується процедура аутентификации з використанням асиметричного шифрування з відкритим ключем.

Контрольні питання:

  1. Що входить у поняття "політика безпеки" організації?
  2. Проаналізуйте правила користування комп'ютером і дії персоналу при виявленні порушення системи безпеки.
  3. Чому мережа Інтернет має слабку захищеність від проникнення зловмисників?
  4. У чому складається суть комп'ютерної атаки і які існують види атак?




Возможно эти работы будут Вам интересны.

1. МІСЦЕ МЕРЕЖ NGN В СТРУКТУРІ СУЧАСНИХ ТА ПЕРСПЕКТИВНИХ ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖ

2. Право: поняття i основні ознаки

3. Форма правління: поняття, основні різновиди

4. Ідеологія Soft Switch, основні поняття та функції

5. Хостинг та FTP-доступ – основні поняття, можливості, інструменти

6. Поняття реалізації правових норм. Основні форми

7. Соціальне регулювання: поняття, функції, основні типи (способи)

8. Поняття форми держави. Зміст, основні складові, практичне значення

9. Поняття про першу медичну допомогу та її види. Завдання і основні принципи її надання

10. Поняття про реабілітації. Основні види пошкоджень ОРА. Загальний метод обстеження пацієнта