Clasificarea atacurilor de rețea și metodele de bază de protecție împotriva acestora. Atacurile informatice
¾ programe pe medii de stocare externe
¾ RAM
¾ zonele de sistem ale computerului
¾ hardware de calculator
37. Principalul mijloc de protecție antivirus este...
¾ verificare periodică a listei de programe descărcate automat
¾ utilizarea firewall-urilor atunci când lucrați pe Internet
¾ scanări periodice ale computerului dvs. utilizând software antivirus
¾ verificare periodică a listei de programe descărcate
38. Semnătura digitală electronică permite...
¾ redirecționați mesajele printr-un canal secret
¾ restabiliți mesajele deteriorate leniya
¾ verifica autenticitatea expeditorului și integritatea mesajului
¾ criptați mesajul pentru a-i păstra secretul
39. Protecția absolută a computerului dumneavoastră împotriva atacurilor de rețea este posibilă cu...
¾ folosind cele mai recente instrumente antivirus
¾ utilizarea de software licențiat
¾ instalarea unui firewall
¾ fără conexiune
40. Cea mai periculoasă parte a unui e-mail în ceea ce privește activitatea virală este...
¾ atașament
¾ titlu
41. O amenințare intenționată la adresa securității informațiilor este...
¾ deteriorarea cablului de transmisie din cauza condițiilor meteorologice
¾ eroare de administrator
¾ inundație
42. Înregistrarea acțiunilor utilizatorului permite...
¾ reconstruiți cursul evenimentelor atunci când apare o amenințare la adresa securității informațiilor
¾ asigurarea confidențialității informațiilor
¾ rezolva problemele de control al accesului
43. Un pachet antivirus NU este...
¾ Kaspersky Anti-Virus
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
44. Viermii de rețea sunt...
¾ programe care modifică fișierele de pe discuri și sunt distribuite în computer
¾ programe care nu schimbă fișierele de pe discuri, ci sunt distribuite într-o rețea de calculatoare, pătrund în sistemul de operare al computerului, găsesc adresele altor computere sau utilizatori și trimit copii ale acestora la aceste adrese
¾ programe distribuite numai prin e-mail prin Internet
¾ programe rău intenționate, ale căror acțiuni sunt de a crea erori atunci când computerul este alimentat de electricitate. retelelor
45. Controalele de securitate ale computerului NU includ...
¾ Programul AntiViral Toolking Pro (AVP).
¾ sisteme speciale bazate pe criptografie
¾ foi de calcul
¾ Programele WinZip și WinRar
46. Virușii informatici sunt...
¾ malware care apare din cauza defecțiunilor hardware ale computerului
¾ programe care sunt scrise de hackeri special pentru a dăuna utilizatorului
¾ programe rezultate din erori în sistemul de operare
¾ virusuri asemănătoare în natură cu virusurile biologice
47. Caracteristicile distinctive ale unui virus informatic sunt
¾ cantitate semnificativă de cod de program
¾ capacitatea de a rula independent și de a copia codul de mai multe ori
¾ capacitatea de a interfera cu funcționarea corectă a computerului
¾ ușurința de recunoaștere
48. Metode de securitate informatică pentru (indicați răspunsul greșit)
¾ legal
¾ organizatoric și tehnic
¾ politic
¾ economic
49. Consecințele negative ale dezvoltării tehnologiilor informaționale moderne includ...
¾ formarea unui spațiu informațional unificat
¾ lucrul cu informaţia devine conţinutul principal al activităţii profesionale
¾ utilizarea pe scară largă a tehnologiilor informaționale în toate sferele activității umane
¾ disponibilitatea informațiilor personale pentru societate, invazia tehnologiei informației în viața privată a oamenilor
50. Asigurarea securității informațiilor este realizată de designeri și dezvoltatori de software în următoarele domenii (indicați răspunsul greșit)
¾ protecție împotriva defecțiunilor echipamentelor
¾ protecție împotriva pierderii accidentale a informațiilor
¾ protecție împotriva denaturării intenționate a informațiilor
¾ dezvoltarea unui cadru legal pentru combaterea infracțiunilor în domeniul tehnologiei informației
¾ protecție împotriva accesului neautorizat la informații
51. O piață dezvoltată a produselor și serviciilor informaționale, schimbările în structura economiei și utilizarea masivă a tehnologiilor informației și comunicațiilor sunt semne ale:
¾ cultura informaţională
¾ cel mai înalt grad de dezvoltare a civilizaţiei
¾ criză informațională
¾ societatea informaţională
¾ dependență de informații
52. Ce nu se aplică obiectelor de securitate a informațiilor din Federația Rusă?
¾ resurse naturale și energetice
¾ resurse informaționale de toate tipurile
¾ sisteme informaționale de diferite clase și scopuri, tehnologii informaționale
¾ sistem de formare a conștiinței publice
¾ drepturile cetățenilor, persoanelor juridice și ale statului de a primi, distribui, utiliza și proteja informațiile și proprietatea intelectuală
53. Pentru a scrie o lucrare independentă, ați copiat textul integral al actului juridic de pe Internet. Ați încălcat drepturile de autor făcând acest lucru?
¾ nu, întrucât actele juridice de reglementare nu fac obiectul dreptului de autor
¾ nu, dacă există permisiunea proprietarului site-ului
54. Este posibil să folosiți articole din diverse reviste și ziare pe teme politice, economice, religioase sau sociale pentru a pregăti material educațional folosindu-le?
¾ da, primind acordul deținătorilor drepturilor de autor
¾ da, indicând sursele de împrumut
¾ da, fără a cere acordul deținătorilor de drepturi de autor, dar cu indicarea obligatorie a sursei de împrumut și a numelor autorilor
55. Un articol publicat pe Internet este considerat a fi supus dreptului de autor?
¾ nu, dacă articolul a fost publicat pentru prima dată pe Internet
¾ da, cu condiția ca același articol să fie publicat tipărit în termen de 1 an
¾ da, deoarece orice articol este supus dreptului de autor ca operă de știință sau literatură
56. În ce cazuri nu vor fi încălcate drepturile de autor atunci când partajați jocurile dvs. pe computer cu alte persoane?
¾ dacă copii ale acestor jocuri pe calculator au fost publicate și puse în circulație publică cu acordul autorului
¾ dacă proprietarii copiilor schimbate ale jocurilor pe calculator le-au achiziționat în baza unui contract de cumpărare și vânzare/schimb
¾ dacă sunt îndeplinite concomitent condițiile specificate la paragrafele precedente
¾ dacă sunt distribuite prin închiriere
57. Principalele acțiuni (faze) efectuate de un virus informatic:
¾ infecție
¾ blocarea programului
¾ manifestare
¾ reproducere
¾ deghizare
58. Programele antivirus nu includ:
¾ interpreți
¾ auditori
¾ paznic
¾ vaccinuri
59. Scopul programelor de detectare antivirus:
¾ detectarea și distrugerea virușilor
¾ detectarea virusului
¾ tratarea fișierelor infectate
¾ distrugerea fișierelor infectate
¾ tratarea fișierelor infectate
¾ controlul căilor de răspândire a virusului
60. Dezavantajele produselor antivirus includ:
¾ imposibilitatea de a trata obiecte „suspecte”.
¾ varietate de setări
¾ scanarea automată a tuturor fișierelor deschise
¾ necesitatea de a actualiza constant bazele de date cu virusi
61. Un pachet antivirus este:
¾ Kaspersky Anti-Virus
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
62. Mijloacele minime necesare de protecție împotriva virușilor includ:
¾ certificarea sediului
¾ control ieșire
¾ control de intrare
¾ arhivare
¾ prevenire
63. Transformarea criptografică a informațiilor este:
¾ introducerea unui sistem de parole
¾ criptarea datelor
¾ restricționarea accesului la informații
¾ copie de rezervă a informațiilor
64. Cele mai eficiente mijloace de protecție împotriva atacurilor de rețea:
¾ utilizarea de firewall-uri sau Firewall
¾ vizitarea numai a site-urilor de internet de încredere
¾ utilizarea de programe antivirus
¾ utilizați numai browsere certificate atunci când accesați Internetul
65. Firewall este:
¾ program de e-mail
¾ la fel ca browserul de internet
¾ la fel ca firewall
¾ editor grafic
66. Înregistrarea acțiunilor utilizatorului vă permite să:
¾ asigurați confidențialitatea
¾ gestionați accesul la informații
¾ reconstruiți evenimentele când apare o amenințare la adresa securității informațiilor
¾ recuperați informațiile pierdute
67. Auditul rețelei include:
¾ scanare antivirus în rețea
¾ audit selectiv al utilizatorului
¾ audit de securitate al fiecărui sistem nou atunci când este instalat în rețea
¾ înregistrarea acțiunilor tuturor utilizatorilor din rețea
68. Secure Sockets Layer:
¾ nu utilizează criptarea datelor
¾ asigură transferul securizat de date
¾ nu poate folosi criptarea cu cheie publică
¾ acesta nu este un protocol, un program
69. Cel mai eficient mijloc de protecție împotriva atacurilor de rețea este...
¾ Utilizarea firewall-urilor sau Firewall-ului;
¾ Vizitați numai site-uri de internet „de încredere”;
¾ Utilizarea programelor antivirus;
¾ Utilizați numai programe de browser certificate atunci când accesați Internetul.
70. De obicei se folosește o imagine comprimată a textului sursă...
¾ Ca cheie pentru criptarea textului;
¾ Să creeze o semnătură digitală electronică;
¾ Ca cheie publică în algoritmi simetrici;
¾ Ca rezultat al criptării textului pentru a-l trimite pe un canal nesigur.
71. Din următoarele: 1) parole de acces, 2) descriptori, 3) criptare, 4) hashing, 5) stabilirea drepturilor de acces, 6) interzicerea tipăririi,
mijloacele de protecție a informațiilor informatice includ:
72. Infecția cu un virus informatic nu poate avea loc.
¾ La deschiderea unui fișier atașat la e-mail;
¾ La pornirea și oprirea computerului;
¾ La copierea fișierelor;
¾ Când este lansat pentru a executa un fișier de program.
73. O semnătură digitală electronică a unui document vă permite să rezolvați problema ______________ document(e)
¾ Mod de acces
¾ Valori
¾ Autenticitate
¾ Secret
74. Rezultatul implementării amenințărilor la securitatea informațiilor poate fi
¾ Distrugerea dispozitivelor de intrare/ieșire
¾ Modificarea configurației dispozitivelor periferice
¾ Distrugerea canalelor de comunicare
¾ Introducerea dezinformarii
75. O semnătură digitală electronică stabilește ____ informații
¾ Consecvență
¾ Autenticitate
¾ Contradicție
76. Instrumentele software pentru protejarea informațiilor dintr-o rețea de calculatoare sunt:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.
77. Pentru utilizarea în siguranță a resurselor de pe Internet, este conceput un protocol...
Această axiomă, în principiu, este evidentă: cu cât o aeronavă este mai accesibilă, convenabilă, rapidă și multifuncțională, cu atât este mai puțin sigură. Există o mulțime de exemple care pot fi date. De exemplu, serviciul DNS: convenabil, dar periculos.
7.6 Metode de protecție împotriva atacurilor de la distanță pe Internet
7.6.1 Metode administrative de protecție împotriva atacurilor de la distanță
Pentru a proteja sistemul de diverse tipuri de influențe la distanță, cel mai corect pas în această direcție ar fi invitarea unui specialist în securitatea informațiilor, care, împreună cu administratorul de sistem al sistemului, va încerca să rezolve întreaga gamă de probleme pentru a asigura nivelul necesar de securitate pentru o aeronavă distribuită. Aceasta este o sarcină complexă destul de complexă, pentru a cărei soluție este necesar să se determine ce (lista obiectelor și resurselor controlate ale RVS), din ce (analiza posibilelor amenințări la adresa acestui RVS) și cum (elaborarea cerințelor, definirea o politică de securitate și dezvoltarea măsurilor administrative și hardware-software pentru a asigura în practică, politica de securitate elaborată) protejează.
Cele mai simple și mai ieftine sunt metodele administrative de protecție împotriva influențelor distructive informaționale. Următoarele paragrafe discută posibile metode administrative de protecție împotriva atacurilor de la distanță descrise mai sus pe gazdele de internet (în general, pe o rețea IP).
Protecție împotriva analizei traficului de rețea
Acest tip de atac permite unui cracker să intercepteze orice informație schimbată între utilizatori la distanță, ascultând în mod programatic un canal de transmitere a mesajelor într-o rețea, dacă prin canal sunt transmise numai mesaje necriptate. De asemenea, s-a demonstrat că protocoalele de bază ale aplicației pentru accesul la distanță TELNET și FTP nu asigură protecția criptografică de bază chiar și a identificatorilor (nume) și a autentificatorilor (parole) de utilizator transmis prin rețea. Prin urmare, administratorii de rețea pot fi sfătuiți în mod evident să nu permită utilizarea acestor protocoale de bază pentru a furniza autorizat accesul la resursele sistemelor lor și consideră analiza traficului de rețea ca pe o amenințare permanentă care nu poate fi eliminată, dar implementarea sa poate deveni lipsită de sens prin utilizarea algoritmilor criptografici puternici pentru protejarea fluxului IP.
Protecția obiectelor false
Utilizarea serviciului DNS pe Internet în forma sa actuală poate permite unui cracker să obțină control global asupra conexiunilor prin impunerea unei rute false prin gazda crackerului - un server DNS fals. Acest atac de la distanță, bazat pe potențiale vulnerabilități ale serviciului DNS, ar putea duce la consecințe catastrofale pentru un număr mare de utilizatori de internet și ar putea provoca o încălcare masivă a securității informațiilor din această rețea globală.
Nu există nicio apărare administrativă sau programatică împotriva unui atac asupra unei versiuni existente a serviciului DNS. Cea mai bună soluție din punct de vedere al securității ar fi să nu folosiți deloc serviciul DNS pe segmentul dvs. securizat! Desigur, abandonarea completă a utilizării numelor la accesarea gazdelor va fi foarte incomod pentru utilizatori. Prin urmare, putem propune următoarea soluție de compromis: folosiți nume, dar abandonați mecanismul de căutare DNS la distanță. Aceasta este o revenire la designul pre-DNS cu servere DNS dedicate. Apoi, pe fiecare mașină din rețea, exista un fișier hosts, care conținea informații despre numele și adresele IP corespunzătoare ale tuturor gazdelor din rețea. Evident, astăzi un administrator poate introduce informații într-un astfel de fișier doar despre serverele de rețea vizitate cel mai frecvent de utilizatorii unui anumit segment. Prin urmare, folosirea acestei soluții în practică este extrem de dificilă și, aparent, nerealistă (ce ar trebui să facem, de exemplu, cu browserele care folosesc URL-uri cu nume?).
Pentru a face acest atac la distanță mai dificil, puteți sugera administratorilor să folosească protocolul TCP pentru serviciul DNS în loc de protocolul UDP, care este instalat implicit (deși este departe de a fi evident din documentație cum să-l schimbe). Acest lucru va face mult mai dificil pentru un atacator să trimită un răspuns DNS fals către gazdă fără a primi cererea DNS.
Protecția împotriva refuzului serviciului
După cum s-a menționat de mai multe ori, nu există și nu pot fi metode acceptabile de protecție împotriva refuzului serviciului în standardul de internet IPv4 existent. Acest lucru se datorează faptului că în acest standard este imposibil să se controleze traseul mesajelor. Prin urmare, este imposibil să se asigure un control fiabil asupra conexiunilor de rețea, deoarece un subiect al interacțiunii cu rețea are posibilitatea de a ocupa un număr nelimitat de canale de comunicație cu un obiect la distanță și, în același timp, de a rămâne anonim. Din acest motiv, orice server de pe Internet poate fi complet paralizat folosind un atac de refuz de serviciu de la distanță.
Singurul lucru care poate fi sugerat pentru a crește fiabilitatea unui sistem supus acestui atac este utilizarea celor mai puternice computere posibile. Cu cât este mai mare numărul și frecvența procesoarelor, cu atât este mai mare cantitatea de RAM, cu atât funcționarea sistemului de operare al rețelei va fi mai fiabilă atunci când este lovit de o „furtună” direcționată de solicitări false de a crea o conexiune. În plus, trebuie să utilizați sisteme de operare care se potrivesc cu puterea dvs. de calcul cu o coadă internă care poate găzdui un număr mare de solicitări de conectare. La urma urmei, dacă, de exemplu, instalați un sistem de operare Linux sau Windows NT pe un supercomputer, în care lungimea cozii pentru cererile procesate simultan este de aproximativ 10, iar timpul de expirare de ștergere a cozii este de câteva minute, atunci, în ciuda puterii de calcul a computer, sistemul de operare va fi complet paralizat atacând.
Concluzia generală pentru contracararea acestui atac în standardul IPv4 existent este următoarea: relaxați-vă și sperați că nu sunteți de interes pentru nimeni sau cumpărați un supercomputer cu un sistem de operare de rețea corespunzător.
7.6.2. Metode software și hardware de protecție împotriva atacurilor de la distanță pe Internet
Software-ul și hardware-ul pentru asigurarea securității informaționale a comunicațiilor în rețelele de calculatoare includ:
Criptare hardware pentru trafic de rețea;
Tehnica firewall, implementată pe baza de software și hardware;
Protocoale cripto securizate de rețea;
Analizoare de trafic de rețea software și hardware;
Sisteme de operare de rețea securizate.
Există o cantitate imensă de literatură dedicată acestor instrumente de securitate destinate utilizării pe Internet (în ultimii doi ani, articole pe această temă pot fi găsite în aproape fiecare număr al oricărei reviste de computere).
7.6.2.1 Tehnica firewall ca instrument principal hardware și software pentru implementarea politicii de securitate a rețelei într-un segment de rețea IP dedicat
Firewall-ul ar trebui să fie considerat un serviciu de securitate independent (și fundamental important). Implementările în rețea ale acestui serviciu, numite firewall-uri (traducerea propusă a termenului englezesc firewall), sunt foarte răspândite; s-a format terminologia si s-a format o clasificare a mecanismelor.
Formularea formală a problemei de screening este următoarea. Să fie două seturi de sisteme informaționale. Un ecran este un mijloc de restricționare a accesului la clienți dintr-un set de
conexiuni la servere din alt set. Ecranul își îndeplinește funcțiile controlând toate fluxurile de informații între două seturi de sisteme.
În cel mai simplu caz, ecranul este format din două mecanisme, dintre care unul limitează mișcarea datelor, iar al doilea, dimpotrivă, o facilitează (adică mută datele). Într-un caz mai general, este convenabil să ne gândim la un ecran (înveliș semi-permeabil) ca la o secvență de filtre. Fiecare dintre ele poate întârzia (nu pierde) datele sau le poate „arunca” imediat „în partea cealaltă”. În plus, este posibil să transferați o porțiune de date la următorul filtru pentru a continua analiza sau să procesați datele în numele destinatarului și să returnați rezultatul expeditorului.
Pe lângă funcțiile de control al accesului, ecranele oferă și exploatare forestieră schimburi de informații. De obicei, ecranul nu este simetric pentru el sunt definite conceptele de „interior”.
si „afara”. În acest caz, sarcina de ecranare este formulată ca protejarea zonei interne de una externă potențial ostilă. Astfel, firewall-urile sunt instalate pentru a proteja rețeaua locală a unei organizații care are acces la un mediu deschis precum Internetul. Un alt exemplu de scut este un port guard, care controlează accesul la portul de comunicații al unui computer înainte și independent de toate celelalte controale de securitate ale sistemului.
Ecranarea permite menține disponibilitatea serviciului zona interioara, reducand sau chiar eliminand sarcina indusa de activitatea externa. Vulnerabilitatea serviciilor de securitate internă este redusă, deoarece inițial un atacator terț trebuie să depășească ecranul unde mecanismele de protecție sunt configurate deosebit de atent și strâns. În plus, sistemul de ecranare, spre deosebire de cel universal, poate fi proiectat într-un mod mai simplu și, prin urmare, mai sigur. Ecranarea face posibilă, de asemenea, controlul fluxurilor de informații direcționate către zona externă, ceea ce ajută la menținerea confidențialității.
Un concept important în ecranare este zona de risc, care este definită ca setul de sisteme care devin accesibile unui atacator după spargerea scutului sau a oricărei componente ale acestuia. De regulă, pentru a crește fiabilitatea protecției, ecranul este implementat ca un set de elemente, astfel încât „piratarea” unuia dintre ele nu deschide încă accesul la întreaga rețea internă.
Astfel, firewalling-ul, atât din punct de vedere al combinației cu alte servicii de securitate, cât și din punct de vedere al organizării interne, folosește ideea de protecție pe mai multe niveluri, datorită căreia rețeaua internă apare în zona de risc doar dacă atacatorul depășește mai multe linii de protecție organizate diferit.
În general, tehnica Firewall implementează următoarele trei funcții principale:
1. Filtrarea pe mai multe niveluri a traficului de rețea
Filtrarea se face de obicei la trei straturi OSI:
Rețea (IP); transport (TCP, UDP);
aplicație (FTP, TELNET, HTTP, SMTP etc.).
Filtrarea traficului de rețea este funcția principală a sistemelor Firewall și permite administratorului de securitate a rețelei să implementeze la nivel central politica de securitate a rețelei necesară
V segment dedicat Rețele IP, adică prin configurarea Firewall-ului corespunzător, puteți permite sau interzice utilizatorilor din rețeaua externă atât accesul la serviciile gazdă corespunzătoare sau la gazdele situate în segmentul protejat, cât și accesul utilizatorilor din rețeaua internă la resursele corespunzătoare. a rețelei externe. Se poate face o analogie cu un administrator local de sistem de operare, care, pentru a implementa o politică de securitate în sistem, atribuie relațiile adecvate necesare între subiecți (utilizatori) și obiecte de sistem (fișiere, de exemplu), ceea ce face posibilă limitarea accesul subiecților sistemului la obiectele sale în conformitate cu drepturile de acces specificate de administrator. Același raționament se aplică filtrării Firewall:
V vor acționa ca subiecte de interacțiune Adresele IP ale gazdelor utilizatorilor și ca obiecte la care accesul trebuie limitat - adrese IP ale gazdelor, protocoalele de transport utilizate și serviciile de acces la distanță.
2. Schemă proxy cu identificarea și autentificarea suplimentară a utilizatorilor pe gazda Firewall
Schema proxy permite, în primul rând, atunci când accesați un segment de rețea protejat de firewall, să efectuați identificarea și autentificarea suplimentară a unui utilizator de la distanță pe acesta și, în al doilea rând, este baza pentru crearea de rețele private cu adrese IP virtuale. Semnificația schemei proxy este de a crea o conexiune cu destinația finală printr-un server proxy intermediar (proxy din engleză autorizat) pe gazda Firewall. Identificarea suplimentară a abonatului poate fi efectuată pe acest server proxy.
3. Crearea de rețele private (Private Virtual Network - PVN) cu adrese IP „virtuale” (NAT - Network Address Translation)
Dacă un administrator de securitate a rețelei consideră că este recomandabil să ascundă adevărata topologie a rețelei sale IP interne, atunci i se poate recomanda să folosească sistemele Firewall pentru a crea o rețea privată (rețea PVN). Gazdele din rețeaua PVN primesc orice adrese IP „virtuale”. Pentru a vă adresa unei rețele externe (prin Firewall), este necesar fie să folosiți serverele proxy descrise mai sus pe gazda Firewall, fie să folosiți sisteme speciale de rutare, numai prin intermediul cărora este posibilă adresarea externă. Acest lucru se întâmplă deoarece adresa IP virtuală utilizată în rețeaua PVN internă nu este în mod evident potrivită pentru adresarea externă (adresarea externă este adresarea către abonații aflați în afara rețelei PVN). Prin urmare, serverul proxy sau instrumentul de rutare trebuie să comunice cu abonații din rețeaua externă de la adresa sa IP reală. Apropo, această schemă este convenabilă dacă vi s-a alocat un număr insuficient de adrese IP pentru a crea o rețea IP (în standardul IPv4 acest lucru se întâmplă tot timpul, așa că pentru a crea o rețea IP cu drepturi depline folosind o schemă proxy, numai un IP alocat este adrese suficiente pentru serverul proxy).
Deci, orice dispozitiv care implementează cel puțin una dintre aceste funcții ale metodei Firewall este un dispozitiv Firewall. De exemplu, nimic nu vă împiedică să utilizați un computer cu un sistem de operare FreeBSD sau Linux obișnuit ca gazdă Firewall, al cărui nucleu al sistemului de operare trebuie să fie compilat în consecință. Un firewall de acest tip va oferi doar filtrarea pe mai multe niveluri a traficului IP. Un alt lucru este că puternicele complexe Firewall oferite pe piață, realizate pe baza unui computer sau mini-computer, implementează de obicei toate funcțiile metodei Firewall și sunt sisteme Firewall complet funcționale. Următoarea figură arată un segment de rețea separat de rețeaua externă de o gazdă Firewall complet funcțională.
Orez. 7.5. Diagrama generalizată a unei gazde Firewall complet funcțională.
Cu toate acestea, administratorii de rețele IP, care au cedat publicității sistemelor Firewall, nu ar trebui să se înșele că Firewall este o garanție a protecției absolute împotriva atacurilor de la distanță pe Internet. Un firewall nu este atât un instrument de securitate, cât este o oportunitate de a implementa central o politică de rețea pentru limitarea accesului de la distanță la resursele disponibile în rețeaua dumneavoastră.
Cerințe moderne pentru firewall-uri
1. Cerința principală este asigurarea securității rețelei interne (protejate) și controlul deplin asupra conexiunilor externe și sesiunilor de comunicare.
2. Sistemul de securitate trebuie să aibă controale puternice și flexibile pentru a implementa ușor și complet politica de securitate a organizației.
3. Firewall-ul ar trebui să funcționeze neobservat de utilizatorii rețelei locale și să nu le îngreuneze efectuarea de acțiuni legale.
4. Procesorul firewall trebuie să fie rapid, să funcționeze suficient de eficient și să poată gestiona întregul trafic de intrare și de ieșire la orele de vârf, astfel încât să nu poată fi blocat de un număr mare de apeluri și să-i perturbe funcționarea.
5. Sistemul de securitate în sine trebuie protejat în mod fiabil de orice influențe neautorizate, deoarece este cheia informațiilor confidențiale din organizație.
6. Sistemul de management al ecranului trebuie să poată aplica la nivel central o politică de securitate unificată pentru sucursalele aflate la distanță.
7. Firewall-ul trebuie să aibă un mijloc de autorizare a accesului utilizatorilor prin conexiuni externe, care este necesar atunci când angajații unei organizații lucrează în călătorii de afaceri.
Clasificarea firewall-urilor analizate
După cum se știe, pentru a efectua o analiză comparativă este necesară, în primul rând, clasificarea mijloacelor analizate. Deoarece firewall-urile sunt concentrate pe protejarea informațiilor în rețele deschise, cum ar fi Internetul/Intranetul, abordarea se bazează pe modelul ISO/OSI (Organizația Internațională pentru Standardizare) cu șapte straturi. În conformitate cu acest model, ME-urile sunt clasificate în funcție de nivelul la care se realizează filtrarea: canal, rețea, transport, sesiune sau aplicație. Prin urmare, putem vorbi despre concentratoare de ecranare (stratul de legătură), routere (stratul de rețea), ecranarea transportului (stratul de transport), gateway-uri la nivel de sesiune (stratul de sesiune) și scuturile de aplicație (stratul de aplicație).
Trebuie remarcat faptul că în prezent, alături de firewall-urile cu un singur nivel, firewall-urile complexe care acoperă niveluri de la rețea la aplicație devin din ce în ce mai populare, deoarece astfel de produse combină cele mai bune proprietăți ale firewall-urilor cu un singur nivel de diferite tipuri. Figura 1 prezintă structura de ecranare a informațiilor între două sisteme atunci când se utilizează modelul de referință ISO/OSI.
Caracteristicile firewall-urilor moderne
Rezultatele unei analize comparative mai rafinate a diferitelor tipuri de firewall-uri sunt prezentate în tabel. 1.
Tip firewall
Ecranarea routerelor (paravane de protecție pentru filtrarea pachetelor)
Gateway de screening
Principiul de funcționare
Filtrarea pachetelor se realizează în conformitate cu antetul IP al pachetului conform criteriului: ceea ce nu este interzis în mod explicit este permis. Informatiile analizate sunt:
- adresa expeditorului;
- adresa destinatarului;
- informații despre aplicație sau protocol;
- numărul portului sursă;
- numărul portului destinatarului.
Schimbul de informații are loc printr-o gazdă bastion instalată între rețelele interne și externe, care ia decizii cu privire la posibilitatea de rutare a traficului. Există două tipuri de ES: sesiune și la nivel de aplicație
Avantaje | Defecte |
· Cost scăzut
· Impact minim asupra performanței rețelei
· Configurare și instalare ușoară
· Transparență față de software
· Fără trecere de pachete în caz de defecțiuni
· Mecanisme de protecție îmbunătățite în comparație cu EM, permițând utilizarea unor instrumente suplimentare de autentificare, atât software cât și hardware
· Utilizarea unei proceduri de traducere a adreselor pentru a ascunde adresele gazdelor dintr-o rețea închisă
· Vulnerabilitatea mecanismului de protecție la diferite tipuri de atacuri de rețea, cum ar fi falsificarea adreselor sursei de pachete, modificarea neautorizată a conținutului pachetului
· Lipsa suportului pentru jurnalul de evenimente și a instrumentelor de audit într-un număr de produse
· Folosind doar puternic gazde bastion datorită cantității mari de calcul
· Lipsa de transparență datorită faptului că ES introduce întârzieri în procesul de transmitere și necesită proceduri de autentificare din partea utilizatorului
Ecranarea subrețelelor | Un izolat | · Posibilitate de ascundere | · Folosiți numai puternic |
subrețea localizată | adresa internă | gazde bastion din cauza |
|
între interior și deschis | volum mare de calcule |
||
acele rețele. Mesaje de la | · Fiabilitate crescută | Întreţinere |
|
rețeaua interioară procesată | nivelul de protectie | (instalare, configurare) |
|
gateway-ul aplicației și accesul | · Posibilitatea de a crea | poate fi realizat doar |
|
dat în PE. După succes | mare tra- | specialişti |
|
trecerea controlului la semnătura electronică | fika intre interne | ||
ajung încuiate | ea și deschide se- | ||
net. Cereri de la închis | la utilizare | ||
rețelele sunt procesate prin | cercetarea mai multor ho- | ||
EP este la fel. Filterova- | sobe-bastioane în EP | ||
Aceasta se realizează pe baza | · „transparență” | ||
cipa: ceea ce nu este permis | roboți pentru orice rețea | ||
este interzis | servicii și orice | ||
structurile interne | |||
Tabelul 1 - Caracteristicile firewall-urilor
După cum se poate observa din Tabelul 1, un firewall este cel mai comun mijloc de îmbunătățire a mijloacelor tradiționale de protecție împotriva accesului neautorizat și este utilizat pentru a asigura protecția datelor atunci când se organizează interacțiunea cu internetwork. Implementările specifice ME depind în mare măsură de platformele de calcul utilizate, dar, cu toate acestea, toate sistemele din această clasă folosesc două mecanisme, dintre care unul asigură blocarea traficului în rețea, iar al doilea, dimpotrivă, permite schimbul de date. În același timp, unele versiuni ale ME se concentrează pe blocarea traficului nedorit, în timp ce altele se concentrează pe reglementarea schimburilor permise între mașini.
Firewall-ul FireWall/Plus este conceput pentru a rezolva trei probleme principale:
Protejarea resurselor rețelei corporative de atacurile de pe Internet;
Implementarea masurilor de securitate (pentru un server/grup de servere dedicat);
Separarea segmentelor interne de rețea pentru a preveni încercările de acces neautorizat de către un utilizator intern.
O caracteristică semnificativă a acestui ME este capacitatea de a lucra cu mai mult de 390 de protocoale de diferite niveluri. Datorită limbajului puternic de scriere a filtrului încorporat, este posibil să descrii orice condiții de filtrare. Această caracteristică vă permite să rezolvați mai eficient problema separării segmentelor unei rețele corporative care utilizează produse care funcționează cu stive de protocoale TCP/IP, IPX și DECNet. Mecanismul de descriere a protocoalelor la nivel de aplicație vă permite să creați scheme specifice pentru limitarea accesului utilizatorilor. FireWall/Plus oferă securitate pentru aplicații Web, FTR, URL, ActiveX și Java și e-mail.
Firewall-ul FireWall/Plus detectează și combate următoarele atacuri:
Atacurile de autentificare pe server;
Atacurile la protocolul degetelor (din exterior și interior);
Determinarea numărului pachetului inițial al unei conexiuni TCP;
redirecționare ilegală;
Atacuri asupra accesului DNS;
Atacurile la autentificarea FTR;
Atacuri la transferul neautorizat de fișiere;
Atacurile de repornire de la distanță;
Falsificarea adresei IP;
Falsificarea adresei MAC;
Atacuri de disponibilitate (furtună de cereri);
Atacuri asupra portului de rezervă al serverului;
Atacuri folosind servere de acces la distanță;
Atacuri asupra accesului anonim FTR.
Acest număr de atacuri blocate este determinat în primul rând de faptul că FireWall/Plus acceptă trei metode de traducere a adreselor de rețea: unu la unu; unu la multi; multi la multi. Nu are nevoie de propria sa adresă IP. Această caracteristică îl face complet transparent în rețea și practic invulnerabil la diferite atacuri. Capacitățile considerate ale firewall-ului FireWall/Plus, care este un reprezentant al generației moderne de firewall-uri, arată cât de dinamic se dezvoltă această zonă a instrumentelor de securitate.
Certificarea firewall-urilor În prezent, Comisia Tehnică de Stat a Rusiei a adoptat documentul de lucru „Instrumente de calcul
tehnologie. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații.” Acest document permite nu numai simplificarea cerințelor de protecție a informațiilor pentru firewall-uri, ci și compararea proprietăților de protecție ale produselor de acest tip.
Ținând cont de perspectivele în domeniul certificării mijloacelor de securitate a informațiilor, sub conducerea Comisiei Tehnice de Stat a Rusiei, Centrul pentru Securitatea Informației (Yubileiny, Regiunea Moscova) a organizat dezvoltarea unei metodologii standard pentru efectuarea testelor de certificare a firewall-urilor . Această tehnică a fost testată într-un număr de laboratoare acreditate în sistemul de certificare al Comisiei Tehnice de Stat a Rusiei. În prezent, pe piața rusă au apărut deja firewall-uri certificate de înaltă securitate, inclusiv Zastava-Jet (clasa 2), Zastava și AltaVista Firewall 97 (clasa de securitate 3). Aceste produse oferă o protecție fiabilă a resurselor de informații împotriva accesului neautorizat.
7.6.2.2 Metode de protecție software utilizate pe Internet
LA Metodele software de protecție pe Internet includ, în primul rând, protocoale cripto securizate, cu ajutorul cărora devine posibilă protejarea fiabilă a conexiunii. Următorul paragraf va discuta despre abordările care există în prezent pe Internet și principalele protocoale cripto care au fost deja dezvoltate.
LA O altă clasă de metode software pentru protejarea împotriva atacurilor de la distanță include programele care există astăzi, al căror scop principal este să analizeze traficul de rețea pentru prezența unuia dintre atacurile active de la distanță cunoscute.
1. Tehnologia SKIP și protocoalele cripto SSL, S-HTTP ca principal mijloc de protecție a conexiunii și a datelor transmise pe Internet
Evident, unul dintre principalele motive pentru succesul atacurilor de la distanță asupra aeronavelor distribuite constă în utilizarea protocoalelor de schimb de rețea care nu pot identifica în mod fiabil obiectele de la distanță sau nu pot proteja conexiunea și datele transmise prin aceasta. Prin urmare, este destul de firesc ca în timpul funcționării Internetului, diferite protocoale de rețea securizate au fost create folosind atât criptografia cu cheie privată, cât și cu cheie publică. Criptografia clasică cu algoritmi criptografici simetrici presupune că părțile de transmitere și de recepție au chei simetrice (identice) pentru criptarea și decriptarea mesajelor. Aceste chei ar trebui să fie distribuite în avans între un număr finit de abonați, ceea ce în criptografie este numită problema standard de distribuție a cheilor statice. Este evident că utilizarea criptografiei clasice cu chei simetrice este posibilă numai pe un set limitat de obiecte. Pe Internet, în mod evident, nu este posibil să se rezolve problema distribuției statice a cheilor pentru toți utilizatorii săi. Cu toate acestea, unul dintre primele protocoale de schimb securizat de pe Internet a fost protocolul Kerberos, bazat tocmai pe distribuția statică a cheilor pentru utilizatorii finali.
număr mare de abonați. Serviciile noastre de informații sunt nevoite să urmeze aceeași cale, folosind criptografia simetrică clasică, atunci când își dezvoltă protocoalele cripto securizate pentru Internet. Acest lucru se explică prin faptul că din anumite motive nu există încă un cripto-algoritm proprietar cu o cheie publică. Peste tot în lume, standarde de criptare similare au fost adoptate și certificate de mult timp, dar noi, se pare, mergem din nou pe direcția inversă!
Deci, este clar că pentru a oferi posibilitatea de a proteja întregul set de utilizatori de Internet și nu un subset limitat al acestuia, este necesar să se utilizeze chei care sunt generate dinamic în procesul de creare a unei conexiuni virtuale atunci când se utilizează criptografia cu chei. În continuare, ne vom uita la principalele abordări și protocoale actuale care asigură securitatea conexiunii.
SKIP (Secure Key Internet Protocol) este o tehnologie numită standard de încapsulare a pachetelor IP care permite, în standardul IPv4 existent, să protejeze conexiunea și datele transmise prin aceasta la nivel de rețea. Acest lucru se realizează după cum urmează: un pachet SKIP este un pachet IP obișnuit, al cărui câmp de date este un antet SKIP dintr-un format definit de specificație și o criptogramă (date criptate). Această structură a pachetului SKIP îi permite să fie redirecționat fără probleme către orice gazdă de pe Internet (adresarea internetwork are loc folosind antetul IP obișnuit din pachetul SKIP). Destinatarul final al pachetului SKIP, folosind un algoritm predeterminat de dezvoltatori, decriptează criptograma și formează un pachet obișnuit TCP sau UDP, care este transmis la modulul obișnuit corespunzător (TCP sau UDP) al nucleului sistemului de operare. În principiu, nimic nu îl împiedică pe dezvoltator să-și formeze propriul antet original, diferit de antetul SKIP, conform acestei scheme.
S-HTTP (HTTP securizat) este un special
Protocol HTTP protejat pentru Web. Protocolul S-HTTP permite o protecție criptografică fiabilă doar a documentelor HTTP ale serverului Web și funcționează la nivelul aplicației modelului OSI. Această caracteristică a protocolului S-HTTP îl face un mijloc absolut specializat de protejare a conexiunii și, ca urmare, este imposibil să îl utilizați pentru a proteja toate celelalte protocoale de aplicație (FTP, TELNET, SMTP etc.). În plus, niciuna dintre cele existente în prezent
Astăzi, principalele browsere web (nici Netscape Navigator 3.0, nici Microsoft Explorer 3.0) sunt acceptate
implementează acest protocol.
SSL (Secure Socket Layer) - dezvoltat de Netscape - este un protocol universal de securitate a conexiunii care operează la nivel de sesiune OSI. Acest protocol, folosind criptografia cu cheie publică, este astăzi, în opinia noastră, singurul instrument universal care vă permite să securizați dinamic orice conexiune folosind orice protocol de aplicație (DNS, FTP, TELNET, SMTP etc.). Acest lucru se datorează faptului că SSL, spre deosebire de S-HTTP, operează la nivelul de sesiune intermediar OSI (între transport - TCP, UDP - și aplicație - FTP, TELNET etc.). În acest caz, procesul de creare a unei conexiuni SSL virtuale are loc conform schemei Diffie și Hellman (clauza 6.2), care vă permite să dezvoltați o cheie de sesiune rezistentă la cripto, care este ulterior utilizată de abonații conexiunii SSL pentru a cripta transmisa. mesaje. Protocolul SSL astăzi a devenit aproape standardul oficial de securitate pentru conexiunile HTTP, adică pentru protejarea serverelor Web. Este susținut, desigur, de Netscape Navigator 3.0 și, în mod ciudat, de Microsoft Explorer 3.0 (amintiți-vă că războiul aprig al browserului dintre Netscape și Microsoft). Desigur, pentru a stabili o conexiune SSL cu un server Web, trebuie să aveți și un server Web care acceptă SSL. Astfel de versiuni de servere Web există deja (SSL-Apache, de exemplu). În încheierea conversației despre protocolul SSL, nu se poate să nu rețină următorul fapt: legile SUA interziceau până de curând exportul de criptosisteme cu o lungime a cheii de peste 40 de biți (recent a fost mărită la 56 de biți). Prin urmare, versiunile existente de browsere folosesc chei pe 40 de biți. Prin experimente, criptoanalistii au descoperit că, în versiunea actuală a protocolului SSL, criptarea folosind o cheie de 40 de biți nu reprezintă o protecție fiabilă pentru mesajele transmise prin rețea, deoarece prin căutare simplă (240 de combinații) această cheie este selectată într-un timp de 1,5 (pe un supercomputer Silicon Graphics) până la 7 zile (în procesul de calcul au fost folosite 120 de stații de lucru și mai multe minicalculatoare).
Deci, este evident că utilizarea pe scară largă a acestor protocoale de schimb securizat, în special SSL (desigur, cu o lungime a cheii de peste 40 de biți), va pune o barieră de încredere în calea tuturor tipurilor de telecomandă.
Procedura de detectare a atacurilor de rețea.
1. Clasificarea atacurilor de rețea
1.1. Mirositoare de pachete
Un sniffer de pachete este un program de aplicație care utilizează o placă de rețea care funcționează în mod promiscuu ( în acest mod, toate pachetele primite pe canalele fizice sunt trimise de adaptorul de rețea către aplicație pentru procesare). În acest caz, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu.
1.2. Falsificarea IP
Falsificarea IP are loc atunci când un hacker, în interiorul sau în afara unui sistem, se uzurpează identitatea unui utilizator autorizat. Acest lucru se poate face în două moduri. În primul rând, un hacker poate folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe de la adresa altcuiva, ascunzând adevărata identitate a hackerului.
De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale. Pentru comunicarea bidirecțională, hackerul trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către adresa IP falsă. Unii hackeri, însă, nici măcar nu încearcă să obțină un răspuns de la aplicații. Dacă sarcina principală este să obțineți un fișier important din sistem, răspunsurile aplicației nu contează.
Dacă un hacker reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, hackerul va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.
1.3. Refuzarea serviciului ( Refuzarea serviciului - DoS)
DoS este cea mai cunoscută formă de atac al hackerilor. Aceste tipuri de atacuri sunt cel mai greu de creat protecție 100% împotriva.
Cele mai cunoscute tipuri de DoS:
- TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
- Tribe Flood Network 2000 ( TFN2K);
- Trinco;
- Stacheldracht;
- Treime.
Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețea sau obținerea de informații din acea rețea. Un atac DoS face ca o rețea să nu fie disponibilă pentru utilizare normală prin depășirea limitelor de operare ale rețelei, ale sistemului de operare sau ale aplicației.
Când utilizați unele aplicații server (cum ar fi un server Web sau un server FTP) Atacurile DoS pot fi la fel de simple ca preluarea tuturor conexiunilor disponibile acestor aplicații și menținerea acestora ocupate, împiedicând deservirea utilizatorilor normali. Atacurile DoS pot folosi protocoale comune de Internet, cum ar fi TCP și ICMP ( Internet Control Message Protocol). Cele mai multe atacuri DoS nu se bazează pe erori software sau găuri de securitate, ci pe slăbiciuni generale ale arhitecturii sistemului. Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei. Acest tip de atac este greu de prevenit deoarece necesită coordonare cu ISP-ul. În cazul în care traficul destinat să vă inunde rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece toată lățimea de bandă va fi ocupată. Când acest tip de atac este efectuat simultan prin mai multe dispozitive, atacul este un DoS distribuit ( DDoS - DoS distribuit).
1.4. Atacurile cu parole
Hackerii pot efectua atacuri cu parole folosind o serie de metode, cum ar fi forța brută ( atac cu forță brută), cal troian, falsificarea IP și mirosirea pachetelor. Deși autentificarea și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și să se autentifice prin mai multe încercări de acces. Această abordare se numește enumerare simplă (atac cu forță brută). Adesea, un astfel de atac folosește un program special care încearcă să obțină acces la o resursă publică ( de exemplu, către server). Dacă, ca urmare, hackerul obține acces la resurse, el obține acces la drepturile unui utilizator obișnuit a cărui parolă a fost ghicită. Dacă acest utilizator are privilegii semnificative de acces, hackerul poate crea un „pass” pentru accesul viitor care va rămâne valabil chiar dacă utilizatorul își schimbă parola și login.
O altă problemă apare atunci când utilizatorii folosesc același ( chiar dacă este foarte bun) parola pentru acces la multe sisteme: sisteme corporative, personale și Internet. Deoarece o parolă este la fel de puternică ca și cea mai slabă gazdă, un hacker care învață parola prin acea gazdă obține acces la toate celelalte sisteme care folosesc aceeași parolă.
1.5. Atacurile de la Omul din mijloc
Pentru un atac Man-in-the-Middle, un hacker are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac. Atacurile sunt efectuate cu scopul de a sustrage informații, a intercepta sesiunea curentă și a obține acces la resursele rețelei private, pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua atacuri DoS, denaturarea datelor transmise și introducerea de informații neautorizate. în sesiuni de rețea.
1.6. Atacurile la nivel de aplicație
Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cel mai frecvent dintre acestea este exploatarea punctelor slabe ale software-ului serverului ( sendmail, HTTP, FTP). Prin exploatarea acestor puncte slabe, hackerii pot obține acces la un computer în calitate de utilizator care rulează aplicația ( de obicei, acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi de acces la sistem). Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să remedieze problema folosind module de remediere ( petice). Principala problemă a atacurilor la nivel de aplicație este că acestea folosesc adesea porturi cărora li se permite să treacă prin firewall. De exemplu, un hacker care exploatează o slăbiciune cunoscută a unui server Web va folosi adesea portul 80 într-un atac TCP Deoarece serverul Web furnizează pagini Web utilizatorilor, firewall-ul trebuie să permită accesul la acest port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.
1.7. Inteligența rețelei
Inteligența rețelei se referă la colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta. Recunoașterea rețelei se realizează sub formă de interogări DNS, scanări ping și scanare porturi. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Testarea ecoului ( ping sweep) adresele dezvăluite de DNS vă permit să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, hackerul analizează caracteristicile aplicațiilor care rulează pe gazde. Ca urmare, se obțin informații care pot fi folosite pentru hacking.
1.8. Încălcarea încrederii
Acest tip de acțiune nu este "atac" sau "asalt". Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu este un sistem instalat în exteriorul unui firewall care are o relație de încredere cu un sistem instalat în interiorul firewall-ului. Dacă un sistem extern este compromis, hackerul poate folosi relația de încredere pentru a pătrunde în sistemul protejat de firewall.
1.9. Redirecționarea portului
Port forwarding este o formă de abuz de încredere în care o gazdă compromisă este folosită pentru a trece traficul printr-un firewall care altfel ar fi respins. Un exemplu de aplicație care poate oferi un astfel de acces este netcat.
1.10. Acces neautorizat
Accesul neautorizat nu poate fi considerat un tip separat de atac. Majoritatea atacurilor de rețea sunt efectuate pentru a obține acces neautorizat. Pentru a ghici o autentificare telnet, un hacker trebuie mai întâi să primească un prompt telnet pe sistemul său. După conectarea la portul telnet, pe ecran apare un mesaj „necesită autorizare pentru a utiliza această resursă” (Pentru a utiliza aceste resurse aveți nevoie de autorizație). Dacă după aceasta hackerul continuă să încerce accesul, acesta va fi luat în considerare "neautorizat". Sursa unor astfel de atacuri poate fi fie în interiorul rețelei, fie în exterior.
1.11. Viruși și aplicații precum "cal troian"
Stațiile de lucru client sunt foarte vulnerabile la viruși și cai troieni. "Cal troian"- aceasta nu este o inserție de program, ci un program real care arată ca o aplicație utilă, dar îndeplinește de fapt un rol dăunător.
2. Metode de contracarare a atacurilor de rețea
2.1. Puteți atenua amenințarea sniff-ului de pachete folosind următoarele instrumente:
2.1.1. Autentificare - Autentificarea puternică este prima apărare împotriva mirosului de pachete. Sub "puternic"Înțelegem că această metodă de autentificare este dificil de ocolit. Un exemplu de astfel de autentificare sunt parolele unice ( OTP - Parole unice). OTP este o tehnologie de autentificare cu doi factori care combină ceea ce ai cu ceea ce știi. Sub „card” ( jeton) înseamnă hardware sau software care generează ( la întâmplare) parolă unică unică. Dacă un hacker află această parolă folosind un sniffer, această informație va fi inutilă deoarece în acel moment parola va fi deja folosită și retrasă. Această metodă de combatere a sniffing-ului este eficientă numai împotriva interceptării parolelor.
2.1.2. Infrastructură comutată - O altă modalitate de a combate sniffingul de pachete într-un mediu de rețea este crearea unei infrastructuri comutate, în care hackerii pot accesa doar traficul care sosește pe portul la care sunt conectați. Infrastructura comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ gravitatea.
2.1.3. Anti-sniffer - A treia modalitate de a combate sniffer-ul este să instalați hardware sau software care recunoaște sniffer-urile care rulează în rețeaua dvs. Aceste instrumente nu pot elimina complet amenințarea, dar, la fel ca multe alte instrumente de securitate a rețelei, sunt incluse în sistemul general de protecție. Așa-numitul "anti-sniffers" măsurați timpii de răspuns a gazdei și determinați dacă gazdele trebuie să proceseze "suplimentar" trafic.
2.1.4. Criptografie - Cea mai eficientă modalitate de a combate sniffingul de pachete nu împiedică interceptarea sau recunoaște munca sniffer-urilor, ci face ca această muncă să fie inutilă. Dacă canalul de comunicație este sigur din punct de vedere criptografic, aceasta înseamnă că hackerul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți).
2.2. Amenințarea de falsificare poate fi atenuată ( dar nu eliminat) folosind următoarele măsuri:
2.2.1. Controlul accesului - Cel mai simplu mod de a preveni falsificarea IP este configurarea corectă a controalelor de acces. Pentru a reduce eficacitatea falsificării IP, controlul accesului este configurat pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă care ar trebui să fie localizată în interiorul rețelei dvs. Acest lucru ajută la combaterea falsificării IP, unde sunt autorizate doar adresele interne. Dacă unele adrese de rețea externe sunt, de asemenea, autorizate, această metodă devine ineficientă.
2.2.2. Filtrarea RFC 2827 - oprirea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii unei rețele corporative. Pentru a face acest lucru, este necesar să respingeți orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale Băncii. Acest tip de filtrare, cunoscut sub numele de „RFC 2827”, poate fi efectuat și de către ISP ( ISP). Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins.
2.2.3. Cea mai eficientă metodă de combatere a IP spoofing este aceeași ca și pentru packet sniffing: trebuie să faceți atacul complet ineficient. Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP. Prin urmare, introducerea unor metode suplimentare de autentificare face ca acest tip de atac să fie inutil. Cel mai bun tip de autentificare suplimentară este criptografic. Dacă acest lucru nu este posibil, autentificarea cu doi factori folosind parole unice poate da rezultate bune.
2.3. Amenințarea atacurilor DoS poate fi redusă în următoarele moduri:
2.3.1. Funcții anti-spoofing - Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Aceste caracteristici ar trebui să includă cel puțin filtrarea RFC 2827 Dacă un hacker nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.
2.3.2. Caracteristici anti-DoS - Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste funcții limitează numărul de canale pe jumătate deschise la un moment dat.
2.3.3. Limitarea volumului de trafic ( limitarea ratei de trafic) – acord cu furnizorul ( ISP) privind limitarea volumului de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețea. Un exemplu comun este limitarea cantității de trafic ICMP care este utilizat numai în scopuri de diagnosticare. Atacurile ( D) DoS utilizează adesea ICMP.
2.3.4. Blocarea adreselor IP - după ce ați analizat atacul DoS și ați identificat intervalul de adrese IP de la care este efectuat atacul, contactați furnizorul dumneavoastră pentru a le bloca.
2.4. Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Parolele unice și/sau autentificarea criptografică pot elimina practic amenințarea unor astfel de atacuri. Nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.
Când utilizați parole obișnuite, trebuie să găsiți o parolă care ar fi dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale ( #, %, $ etc.). Cele mai bune parole sunt greu de ghicit și greu de reținut, forțând utilizatorii să noteze parolele pe hârtie.
2.5. Atacurile de tip Man-in-the-Middle pot fi combatute eficient doar folosind criptografie. Dacă un hacker interceptează date dintr-o sesiune criptată, ceea ce va apărea pe ecranul său nu este mesajul interceptat, ci un set de caractere fără sens. Rețineți că, dacă un hacker obține informații despre o sesiune criptografică ( de exemplu, cheia de sesiune), acest lucru poate face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.
2.6. Atacurile la nivel de aplicație nu pot fi eliminate complet. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe Internet. Cel mai important lucru este o bună administrare a sistemului.
Măsuri pe care le puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:
- citirea și/sau analiza fișierelor jurnal ale sistemului de operare și fișierelor jurnal de rețea folosind aplicații analitice speciale;
- actualizarea în timp util a versiunilor de sisteme de operare și aplicații și instalarea celor mai recente module de corecție ( petice);
- utilizarea sistemelor de detectare a atacurilor ( IDS).
2.7. Este imposibil să scapi complet de inteligența rețelei. Dacă dezactivați ecou ICMP și răspunsul ecou pe routerele de margine, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără testare ping prealabilă. Acesta va dura mai mult, deoarece va trebui să scanați adrese IP inexistente. Sistemele IDS la nivel de rețea și gazdă fac de obicei o treabă bună notificând administratorul cu privire la recunoașterea rețelei în curs, ceea ce le permite să se pregătească mai bine pentru un atac viitor și să notifice ISP-ul ( ISP), pe a cărui rețea este instalat un sistem care dă dovadă de curiozitate excesivă.
2.8. Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall. Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate prin alți parametri decât adresele IP.
2.9. Principala modalitate de a combate redirecționarea porturilor este utilizarea modelelor de încredere puternice ( vezi clauza 2.8 ). În plus, sistemul gazdă IDS poate împiedica un hacker să-și instaleze software-ul pe gazdă ( HIDS).
2.10. Metodele de combatere a accesului neautorizat sunt destul de simple. Principalul lucru aici este să reduceți sau să eliminați complet capacitatea hackerului de a obține acces la sistem folosind un protocol neautorizat. De exemplu, luați în considerare prevenirea accesului hackerilor la portul telnet de pe un server care oferă servicii Web utilizatorilor externi. Fără acces la acest port, un hacker nu îl va putea ataca. În ceea ce privește firewall-ul, sarcina sa principală este de a preveni cele mai simple încercări de acces neautorizat.
2.11. Lupta împotriva virușilor și cailor troieni se desfășoară folosind un software antivirus eficient care funcționează la nivel de utilizator și la nivel de rețea. Produsele antivirus detectează majoritatea virușilor și cailor troieni și opresc răspândirea acestora.
3. Algoritm de acțiuni la detectarea atacurilor de rețea
3.1. Majoritatea atacurilor de rețea sunt blocate de instrumentele de securitate a informațiilor instalate automat ( firewall-uri, instrumente de boot de încredere, routere de rețea, instrumente antivirus etc.).
3.2. Atacurile care necesită intervenția personalului pentru a le bloca sau a reduce severitatea consecințelor includ atacurile DoS.
3.2.1. Atacurile DoS sunt detectate prin analiza traficului de rețea. Începutul atacului se caracterizează prin „ ciocănind» canalele de comunicare care folosesc pachete mari consumatoare de resurse cu adrese false. Un astfel de atac asupra unui site bancar online complică accesul utilizatorilor legitimi, iar resursa web poate deveni inaccesibilă.
3.2.2. Dacă este detectat un atac, administratorul de sistem efectuează următoarele acțiuni:
- comută manual routerul pe canalul de rezervă și înapoi pentru a identifica un canal mai puțin încărcat (un canal cu o lățime de bandă mai mare);
- identifică gama de adrese IP de la care este efectuat atacul;
- trimite o solicitare furnizorului de a bloca adrese IP din intervalul specificat.
3.3. Un atac DoS este de obicei folosit pentru a ascunde un atac de succes asupra resurselor clientului, pentru a face dificil de detectat. Prin urmare, atunci când detectăm un atac DoS, este necesar să analizați cele mai recente tranzacții pentru a identifica tranzacțiile neobișnuite, a le bloca (dacă este posibil) și a contacta clienții printr-un canal alternativ pentru a confirma tranzacțiile.
3.4. Dacă se primesc informații despre acțiuni neautorizate de la client, toate probele disponibile sunt înregistrate, se efectuează o investigație internă și se depune o cerere la agențiile de aplicare a legii.
Descărcați fișierul ZIP (24151)
Dacă documentele au fost utile, vă rugăm să le dați un „like”:
Odată ce instalați Ubuntu ca sistem de operare principal, ar trebui să învățați cum să vă protejați împotriva încărcăturilor utile Rubber Ducky, confiscarea datelor dvs. de către forțele de ordine și, în general, să reduceți numărul de ținte pe care le puteți atinge. Când vă apărați împotriva atacurilor de rețea, trebuie să minimizați dezvăluirea informațiilor despre hardware-ul dvs., să preveniți rularea sniffer-urilor de pachete, să înăspriți regulile de firewall și multe altele.
Continuăm mini-seria noastră privind consolidarea protecției sistemului de operare Ubuntu. În această parte, veți învăța cum să falsificați o adresă MAC pentru a deruta hackerii pasivi, să dezactivați serviciile de rețea neutilizate, cum ar fi CUPS și Avahi, să creați reguli de firewall pentru anumite porturi pentru a bloca încercările de acces neautorizat și a vă prelua datele, a vă proteja împotriva parolelor și a cookie-urilor. . din pachetele dvs. folosind un VPN.
Dacă ați ratat articolul anterior, asigurați-vă că îl verificați, chiar dacă aveți deja instalat Ubuntu și doriți doar să-i consolidați securitatea. Veți afla ce ne-a motivat să scriem această serie în patru părți.
Pasul 1: Protejați-vă de detectarea hardware-ului dvs
Când vă conectați la rețele și routere Wi-Fi noi, falsificați adresa MAC a adaptorului dvs. Wi-Fi. Desigur, acest lucru nu va împiedica un hacker motivat să știe ce sistem de operare utilizați, dar l-ar putea deruta și îl poate împiedica să adune informații despre hardware-ul dvs.
De exemplu, un hacker conectat la o rețea Wi-Fi într-o cafenea își poate concentra eforturile pe alte dispozitive decât Apple. Dacă apareți în rețea cu , atacatorul vă va ignora complet dispozitivul. Sau ar putea încerca unele atacuri specifice MacOS pe dispozitivul dvs., care nu vor funcționa, deoarece nu utilizați de fapt un MacBook, apari doar online ca și cum ați folosi hardware Apple. Combinat cu un user-agent de browser fals, acest lucru poate deruta cu adevărat un adversar nu atât de inteligent.
Pentru a schimba adresa MAC în Ubuntu, deschideți Network Manager și accesați meniul „Editare” al conexiunii dvs. Wi-Fi. În fila Identitate, introduceți adresa MAC pe care doriți să o utilizați în câmpul Adresă clonata.
Pasul 2: Protejați-vă împotriva atacurilor asupra serviciilor de ascultare
Când un proces (sau un serviciu) de fundal este în starea „ ” (ascultare), înseamnă că alte servicii și aplicații de pe dispozitivul și rețeaua dvs. pot interacționa cu acesta. Aceste servicii de „ascultare” așteaptă întotdeauna unele date ca intrare, la care serviciul trebuie să dea un răspuns specific la primire. Orice serviciu cu adresa locală 0.0.0.0, în timp ce se află în starea de ascultare, va fi cel mai probabil disponibil pentru toți utilizatorii dintr-o anumită rețea locală și, eventual, și pe Internet.
Un Ubuntu proaspăt instalat va avea doar câteva servicii care rulează, așa că nu este nevoie să vă faceți griji cu privire la temutul port ascultat în mod implicit. Dar țineți întotdeauna cont de aplicațiile pe care le veți instala în viitor. Ei pot deschide porturi de ascultare fără să vă spună.
Pentru a urmări procesele de fundal care ascultă, vom folosi netstat, un instrument folosit pentru a afișa informații despre conexiunile de rețea, porturile deschise și serviciile care rulează. Deoarece am folosit o instalare minimă a Ubuntu, setul de utilități net-tools de care avem nevoie pentru a lucra cu rețele (inclusiv netstat) va trebui să fie instalat manual. Acest lucru se poate face folosind comanda sudo apt-get install net-tools.
Sudo apt-get install net-tools Citirea listelor de pachete... Terminat Construirea arborelui de dependențe Citirea informațiilor despre starea... Terminat Următoarele pachete NOI vor fi instalate: net-tools 0 actualizat, 1 nou instalat, 0 de eliminat și 0 neactualizat . Trebuie să obțineți 194 kB de arhive. După această operațiune, se vor folosi 803 kB de spațiu suplimentar pe disc. Selectarea pachetelor net-tools neselectate anterior. (Se citesc baza de date... 149085 fișiere și directoare instalate în prezent.) Se pregătește despachetarea.../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb... Se despachetează net-tools (1.60+git20161116.90ubdauntu10.90 ... Procesarea declanșatoarelor pentru man-db (2.8.3-2) ... Configurarea net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...
Utilizați următoarea comandă netstat pentru a vizualiza serviciile în starea „ASCULTARE”.
Sudo netstat -ntpul Conexiuni la Internet active (numai servere) Proto Recv-Q Send-Q Adresă locală Adresă străină Stare PID/Nume program tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 1270. .0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0.0.0.0.0/system:pd 631:* 631 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0.0./:* avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Systemd-resolve este folosit pentru a rezolva numele de domenii și, desigur, nu trebuie schimbat sau eliminat. Vom vorbi despre „cupsd” și „avahi-daemon” mai jos în secțiunile următoare.
Dezactivați sau eliminați CUPS
În 2011, a fost descoperită o vulnerabilitate DDoS în avahi-daemon. Deși acest CVE este destul de vechi și are un nivel de severitate foarte scăzut, el demonstrează totuși modul în care un hacker dintr-o rețea locală descoperă vulnerabilități în protocoalele de rețea și manipulează serviciile care rulează pe dispozitivul unei victime.
Dacă nu intenționați să interacționați cu produsele sau serviciile Apple pe alte dispozitive, avahi-daemon poate fi dezactivat folosind următoarea comandă: sudo systemctl disa avahi-daemon.
Sudo systemctl dezactivează avahi-daemon Starea de sincronizare a avahi-daemon.service cu scriptul de serviciu SysV cu /lib/systemd/systemd-sysv-install. Se execută: /lib/systemd/systemd-sysv-install disable avahi-daemon Eliminat /etc/systemd/system/dbus-org.freedesktop.Avahi.service. S-a eliminat /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Avahi poate fi, de asemenea, eliminat complet folosind sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Citirea listelor de pachete... Terminat Construirea arborelui de dependențe Citirea informațiilor despre starea... Terminat Următoarele pachete vor fi ȘTERSE: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1) ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 actualizat, 0 nou instalat, 3 de eliminat și 0 neactualizat. După această operațiune, 541 kB de spațiu pe disc vor fi eliberați. Vrei să continui?
y
Pasul 3: Protejați-vă porturile
Un hacker amator ar putea încerca să extragă date sau să creeze un shell invers pe (listat explicit pe Wikipedia ca port implicit pentru Metasploit). Un firewall care permite numai pachetele de ieșire pe câteva porturi va bloca orice pachete de intrare.
Pentru a gestiona disponibilitatea porturilor, vom folosi un program care oferă o interfață simplă pentru configurarea firewall-urilor. UFW înseamnă literalmente Firewall necomplicat. Acționează ca un front-end pentru (filtru de pachete) și nu este destinat să ofere funcționalitate completă de firewall, ci este un mijloc convenabil de a adăuga sau de a elimina reguli de firewall.
1. Respinge toate conexiunile de intrare și de ieșire
Pentru a activa UFW, utilizați comanda sudo ufw enable.
Sudo ufw enable Firewall este activ și activat la pornirea sistemului
Dezactivați toate conexiunile de intrare cu această comandă:
Sudo ufw implicit deny incoming
Apoi dezactivați toate redirecționările:
Sudo ufw implicit deny forward
Și respinge toate conexiunile de ieșire:
Sudo ufw implicit deny outgoing
De acum înainte, nu veți mai avea acces la Internet folosind Firefox sau orice altă aplicație.
2. Găsiți interfața dvs. Wi-Fi
Pentru a permite conexiuni de ieșire, mai întâi trebuie să găsiți numele adaptorului Wi-Fi folosind comanda ifconfig -a.
În sensul acestui articol, folosim Ubuntu în VirtualBox, așa că numele interfeței noastre este „enp0s8”. Comanda ifconfig poate afișa interfața fără fir ca „wlp3s0”, „wlp42s0” sau ceva de genul acesta.
3. Creați excepții pentru firewall și configurați rezoluția DNS sigură
Puteți permite traficul DNS, HTTP și HTTPS pe interfața fără fir folosind aceste trei comenzi.
Sudo ufw permite accesul la portul 1.1.1.1 proto udp 53 comentariu „permite DNS activat” sudo ufw permite accesul la orice port proto tcp 80 comentariu „permite HTTP activat” sudo ufw permite accesul la orice port proto tcp 443 comentariu „permite HTTPS activat
Adresa „1.1.1.1” din comanda DNS este noul rezolutor DNS. Mulți utilizatori de internet nu realizează că, chiar dacă navighează pe un site web folosind o conexiune criptată (micul lacăt verde din bara de adrese URL), ISP-ii pot vedea în continuare numele fiecărui domeniu vizitat folosind interogări DNS. Folosirea soluției DNS de la CloudFlare va ajuta la prevenirea furnizorilor de servicii de internet (ISP) să încerce să-ți spioneze traficul.
4. Actualizați configurația DNS în Network Manager
După ce setați regulile UFW în Network Manager, mergeți la meniul „Editare” al conexiunii dvs. Wi-Fi și schimbați câmpul DNS la 1.1.1.1. Deconectați-vă și reconectați-vă la rețeaua Wi-Fi pentru ca modificările DNS să aibă efect.
Vizualizați regulile nou create folosind comanda sudo ufw status numeroted.
Sudo ufw status numerotat Stare: activ Pentru acțiune De la -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Oriunde pe enp0s8 (out) # permit DNS pe enp0s8 [ 2] 443/tcp ALLOW OUT Oriunde pe enp0s8 (out) # permit HTTPS pe enp0s8 [ 3] 80/tcp ALLOW OUT Oriunde pe enp0s8 (out) # permit HTTP pe enp0s8
Ubuntu va putea face cereri standard HTTP/HTTPS pe porturile 80 și 443 de pe interfața wireless pe care o specificați. Dacă aceste reguli sunt prea stricte pentru activitățile tale zilnice, poți permite toate pachetele de ieșire folosind această comandă:
Sudo ufw implicit permite expedierea
5. Monitorizați-vă firewall-ul
Dacă încercați să depanați conexiunile de intrare sau de ieșire, puteți utiliza comanda tail cu argumentul -f pentru a monitoriza mesajele și discrepanțele din jurnalele UFW în timp real. Această comandă va arăta complet astfel:
Coada -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TDF PROTL=69TCP=69TCP=690 SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.193.1.44 = 104.193.193.19.19.19.19 47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0
În jurnalele de mai sus, UFW blochează conexiunile de ieșire (OUT=) de la adresa noastră IP locală (192.168.1.44) la serverul Null Byte (104.193.19.59) folosind TCP cu portul de destinație (DPT) 9999. Acest lucru poate fi rezolvat folosind acest comanda UFW:
Sudo ufw permite accesul de la 192.168.1.44 la 104.193.19.59 portul proto tcp 9999
Pentru mai multe informații despre UFW, puteți citi paginile de manual (man ufw).
Cititorii interesați de reglarea foarte fină a unui firewall ar trebui cu siguranță.
Pasul 4: Protejați-vă împotriva mirosului de pachete și a interceptării cookie-urilor
Atacurile de manipulare a pachetelor pot fi prevenite prin utilizarea unei rețele private virtuale (VPN). VPN oferă un set de tehnologii care:
- Opriți hackerii din rețelele Wi-Fi să manipuleze pachetele și să vă urmărească activitatea.
- Interziceți furnizorilor de internet să vă monitorizeze activitatea și să vă vândă datele către terți.
- Acestea ajută la ocolirea blocării de către autoritățile de cenzură (cum ar fi RKN), atunci când furnizorii de internet sau firewall-urile de rețea blochează accesul la anumite site-uri web.
Cele mai multe servicii VPN plătite încep de la 5 USD pe lună. Unii furnizori de VPN demni de remarcat sunt: ProtonVPN, Mullvad, VyprVPN și .
Următorul pas este consolidarea protecției aplicațiilor și crearea sandbox-urilor
Asta este pentru stabilirea protecției prezenței și activităților tale online. În articolul următor, vom vorbi despre aplicații pentru crearea sandbox-urilor și menținerea sistemului în siguranță în cazul în care rulează vreun malware pe dispozitivul tău. După aceea, vom aborda auditarea cu software antivirus și monitorizarea jurnalelor de sistem.
Disclaimer: Acest articol este scris doar în scopuri educaționale. Autorul sau editorul nu a publicat acest articol în scopuri rău intenționate. Dacă cititorii ar dori să folosească informațiile pentru un câștig personal, autorul și editorul nu sunt responsabili pentru niciun prejudiciu sau daune cauzate.Există o mare varietate de diferite configurații de computer, sisteme de operare și echipamente de rețea, cu toate acestea, acest lucru nu devine un obstacol în calea accesului la rețeaua globală. Această situație a fost posibilă datorită protocolului de rețea universal TCP/IP, care stabilește anumite standarde și reguli pentru transmiterea datelor prin Internet. Din păcate, această versatilitate a dus la faptul că computerele care utilizează acest protocol au devenit vulnerabile la influența externă și, deoarece protocolul TCP/IP este utilizat pe toate computerele conectate la Internet, atacatorii nu au nevoie să dezvolte mijloace individuale de accesare a altor persoane. masini.
Un atac de rețea este o încercare de a influența un computer la distanță folosind metode software. De regulă, scopul unui atac de rețea este de a încălca confidențialitatea datelor, adică de a fura informații. În plus, atacurile de rețea sunt efectuate pentru a obține acces la computerul altcuiva și, ulterior, pentru a modifica fișierele aflate pe acesta.
Există mai multe tipuri de clasificare a atacurilor de rețea. Una dintre ele se bazează pe principiul influenței. Atacurile pasive de rețea au ca scop obținerea de informații confidențiale de la un computer la distanță. Astfel de atacuri, de exemplu, includ citirea mesajelor de e-mail primite și trimise. În ceea ce privește atacurile active de rețea, sarcina lor nu este doar accesul la anumite informații, ci și modificarea acestora. Una dintre cele mai semnificative diferențe dintre aceste tipuri de atacuri este că interferența pasivă este aproape imposibil de detectat, în timp ce efectele unui atac activ sunt de obicei vizibile.
În plus, atacurile sunt clasificate în funcție de obiectivele pe care le servesc. Printre sarcinile principale, de regulă, se numără întreruperea funcționării computerului, accesul neautorizat la informații și modificarea ascunsă a datelor stocate pe computer. De exemplu, piratarea unui server de școală pentru a schimba notele din jurnale este clasificată ca un atac de rețea activ de al treilea tip.
Tehnologii de protecție
Metodele de protecție împotriva atacurilor de rețea sunt în mod constant dezvoltate și îmbunătățite, dar niciuna dintre ele nu oferă o garanție completă. Faptul este că orice apărare statică are slăbiciuni, deoarece este imposibil să te protejezi împotriva tuturor deodată. În ceea ce privește metodele dinamice de protecție, cum ar fi statistica, expertul, logica fuzzy și rețelele neuronale, ele au și punctele lor slabe, deoarece se bazează în primul rând pe analiza acțiunilor suspecte și pe compararea lor cu metodele cunoscute de atacuri la rețea. În consecință, majoritatea sistemelor de apărare cedează unor tipuri de atacuri necunoscute, începând să respingă intruziunea prea târziu. Cu toate acestea, sistemele moderne de securitate îngreunează atât de mult accesul la date pentru un atacator, încât este mai rațional să caute o altă victimă.
