Для снижения вероятности несанкционированного доступа необходимо соблюдать ряд правил. Проведение парольной атаки усложняется, если реализуется политика выбора трудноугадываемых и труднораскрываемых паролей и происходит частая смена паролей. Необходимо сократить число точек доступа к сети и использовать сервер AАА (аутентификации, авторизации и аудита) для управления доступом, использовать защищенные протоколы удаленного доступа (РРР, CHAP или MS-CHAP). Атаки доверительного доступа предотвращаются с помощью защиты доступа к корневому уровню или уровню администратора, а так же процедур аудита и мониторинга доверительных отношений. Атака перенаправления портов выявляется при проверке системы на предмет появления вирусов и "троянских коней", запросов на открытие портов от узлов, с которых такие запросы не ожидаются. Атаку «человек по середине» можно блокировать с помощью проверки защищенности доверительных отношений между узлами и замены значений конфигурации, установленных по умолчанию. Атака переполнения буфера предотвращается путем выключения всех ненужных сервисов и команд и установки защищенных версий программ. | Парольная атака – выбор трудноугадываемых паролей Доверительный доступ - выполнение процедур аудита Перенаправление портов – проверка на наличие вирусов. Атака «человек по середине» - защита отношений между узлами. Атака переполнения буфера – установка защищенных версий программ. Рис 1.32 |
|
|
Блокирование сервиса
Атака блокирования сервиса (DoS - Denial of Service) заключается в посылке большого числа запросов на атакуемый узел или сеть, что приводит к перегрузке атакуемого ресурса и замедлению или прекращению обслуживания легальных пользователей. Примером DoS атаки является посылка пакетов нестандартного формата, которые приводят к выходу из строя или замедлению работы атакуемого узла. Эти пакеты называются «отравляющими» (poisonous packet). Другой способ – посылка большой последовательности пакетов, приводящая к превышению пропускной способности линии связи. Распределенная атака блокирования сервиса (DDoS - Distributed Denial of Service) имеет те же цели что и DoS атака, но происходит с многих точек одновременно. Можно выделить три типа DoS атак. Атака Ping смерти (Ping of Death) - злоумышленник посылает пакет ICMP запроса (ICMP echo request) размером больше максимально разрешенного 65 535 байт. Атакуемый узел будет собирать фрагменты такого запроса, что приведет к заполнению его буфера и перегрузке системы. Атака «лавина ping» (Smurf Attack) - злоумышленник посылает большое количество ICMP запросов по широковещательному адресу с IP -адресом источника принадлежащему этой сети. Все узлы в сети посылают ICMP ответы, загружая сеть. Особенно чувствительна к такой атаке сеть с множественным доступом. Лавина SYN (TCP SYN Flood) – злоумышленник посылает на сервер запросы на открытие сеансов TCP (TCP SYN) с несуществующими IP -адресами отправителя или IP-адресом самого сервера. Сервер открывает сеанс связи и ожидает ответ. Таким образом, накапливается множество открытых наполовину сеансов связи и легальный пользователь не может получить доступ к данному узлу. При создании сеанса TCP с собой происходит зацикливание и перезагрузка сервера. | Ping смерти Лавина ping Лавина SYN Рис 1.33. |
|
|
Методы противодействия атакам блокирования сервисов
Для предотвращения атак с помощью пакетов больших размеров (ping смерти) необходимо включить режим фильтрации большого (по объему) или фрагментированного трафика ICMP, а так же запретить обработку входящих фрагментированных пакетов IP в маршрутизаторе периметра. Такой вид атак можно обнаружить с помощью средств обнаружения вторжений Cisco. Атака «Лавина ping» блокируется с помощью запрета ответов на запросы ICMP в маршрутизаторах периметра и блокировки широковещания на всех маршрутизаторах сети. Атака «Лавина SYN» может быть исключена с помощью механизмов фильтрации пакетов с фальсифицированными IP -адресами и средств СВАС (Context-Based Access Control — управление доступом на основе контекста), которые используются для выявления признаков атак блокирования сервиса и защиты от них. | Ping смерти – фильтрация большого или фрагментированного трафика ICMP намаршрутизаторе периметра. Лавина ping - запрет ответов на запросы ICMP в маршрутизаторах периметра. Лавина SYN - фильтрация пакетов с фальсифицированными IP -адресами и СВАС. Рис. 1.34 |
Подмена данных.
Злоумышленник может перехватить, пересылаемые по каналу связи, данные, изменить их и воспроизвести повторно. Можно выделить два типа атак подмены данных. Подмена IP-адресов – злоумышленник может подменить IP -адрес и получить доступ к тем ресурсам сети, аутентификация запросов к которым выполняется на основе проверки адресов. Подмена данных – реализуется с помощью воспроизведения или захвата сеанса связи. Злоумышленник выполняет перехват нескольких пакетов, анализирует и изменяет полученные данные, а затем воспроизводит пакеты с целью выполнения несанкционированных действий. При этом используется отсутствие или несовершенство средств проверки подлинности принимаемых данных. Захват сеанса связи – злоумышленник перехватывает управление уже установленным соединением IP и передает по нему фальсифицированные данные. | Рис 1.35 |
Методы противодействия атакам подмены данных
Для предотвращения атак подмены данных можно выполнить следующие действия: включение режима Web-броузера, в котором выполняется запрос на выполнение мобильного программного кода; блокирование доступа к общедоступным серверам электронной почты для уменьшения возможности утечки информации; использование средств аутентификации (CiscoSecure, TACACS+, RADIUS); использование шифрования для защиты целостности и конфиденциальности передаваемых данных; применение системы цифровых подписей. |