Phân loại các cuộc tấn công mạng và các phương pháp bảo vệ cơ bản chống lại chúng. Tấn công máy tính

¾ chương trình trên phương tiện lưu trữ bên ngoài

¾ RAM

¾ khu vực hệ thống của máy tính

¾ phần cứng máy tính

37. Phương tiện bảo vệ chống vi-rút chính là...

¾ kiểm tra định kỳ danh sách các chương trình được tải xuống tự động

¾ sử dụng tường lửa khi làm việc trên Internet

¾ quét máy tính định kỳ bằng phần mềm diệt virus

¾ kiểm tra định kỳ danh sách các chương trình đã tải xuống

38. Chữ ký số điện tử cho phép...

¾ chuyển tiếp tin nhắn qua kênh bí mật

¾ khôi phục tin nhắn bị hỏng leniya

¾ xác minh tính xác thực của người gửi và tính toàn vẹn của tin nhắn

¾ mã hóa tin nhắn để giữ bí mật

39. Có thể bảo vệ tuyệt đối máy tính của bạn khỏi các cuộc tấn công mạng với…

¾ sử dụng các công cụ chống virus mới nhất

¾ sử dụng phần mềm được cấp phép

¾ cài đặt tường lửa

¾ không có kết nối

40. Phần nguy hiểm nhất của một email xét về hoạt động lan truyền là...

¾ tệp đính kèm

¾ tiêu đề

41. Hành vi cố ý đe dọa an toàn thông tin là...

¾ hư hỏng cáp truyền do điều kiện thời tiết

¾ lỗi quản trị viên

¾ lũ lụt

42. Ghi nhật ký hành động của người dùng cho phép...

¾ xây dựng lại diễn biến của các sự kiện khi xảy ra mối đe dọa đối với an toàn thông tin

¾ đảm bảo bí mật thông tin

¾ giải quyết các vấn đề kiểm soát truy cập

43. Gói chống vi-rút KHÔNG...

¾ Phần mềm diệt virus Kaspersky

¾ Phần mềm diệt virus Symantec

¾ Norton AntiVirus

¾ Phần mềm diệt virus của Microsoft

44. Sâu mạng là...

¾ chương trình sửa đổi tập tin trên đĩa và được phân phối trong máy tính

¾ chương trình không thay đổi tệp trên đĩa nhưng được phân phối trên mạng máy tính, xâm nhập vào hệ điều hành của máy tính, tìm địa chỉ của máy tính hoặc người dùng khác và gửi bản sao của chính chúng đến các địa chỉ này

¾ chương trình chỉ được phân phối qua e-mail trên Internet

¾ các chương trình độc hại có hành động gây ra lỗi khi máy tính được cấp điện. mạng lưới

45. Các công cụ bảo mật máy tính KHÔNG bao gồm...

¾ Chương trình AntiVirus Toolking Pro (AVP)

¾ hệ thống đặc biệt dựa trên mật mã

¾ bảng tính

¾ Các chương trình WinZip và WinRar

46. Virus máy tính là...

¾ phần mềm độc hại xảy ra do lỗi phần cứng máy tính

¾ chương trình được tin tặc viết riêng để gây hại cho người dùng

¾ chương trình do lỗi trong hệ điều hành

¾ virus có bản chất tương tự như virus sinh học

47. Đặc điểm nổi bật của virus máy tính là

¾ lượng mã chương trình đáng kể

¾ khả năng chạy độc lập và sao chép mã nhiều lần

¾ khả năng can thiệp vào hoạt động chính xác của máy tính

¾ dễ nhận biết

48. Các phương pháp bảo mật máy tính cho (chỉ ra câu trả lời sai)

¾ hợp pháp

¾ tổ chức và kỹ thuật

¾ chính trị

¾ kinh tế

49. Những hậu quả tiêu cực của sự phát triển của công nghệ thông tin hiện đại bao gồm...

¾ hình thành một không gian thông tin thống nhất

¾ làm việc với thông tin trở thành nội dung chính của hoạt động nghề nghiệp

¾ sử dụng rộng rãi công nghệ thông tin trong mọi lĩnh vực hoạt động của con người

¾ sự sẵn có của thông tin cá nhân cho xã hội, sự xâm nhập của công nghệ thông tin vào đời sống riêng tư của con người

50. Việc đảm bảo an toàn thông tin được thực hiện bởi các nhà thiết kế, phát triển phần mềm trong các lĩnh vực sau (chỉ ra câu trả lời sai)

¾ bảo vệ khỏi hư hỏng thiết bị

¾ bảo vệ chống mất thông tin do tai nạn

¾ bảo vệ chống lại sự bóp méo thông tin có chủ ý

¾ xây dựng khung pháp lý để chống tội phạm trong lĩnh vực công nghệ thông tin

¾ bảo vệ chống truy cập trái phép vào thông tin

51. Thị trường sản phẩm và dịch vụ thông tin phát triển, những thay đổi trong cơ cấu nền kinh tế và việc sử dụng rộng rãi công nghệ thông tin và truyền thông là những dấu hiệu của:

¾ văn hóa thông tin

¾ mức độ phát triển cao nhất của nền văn minh

¾ khủng hoảng thông tin

¾ xã hội thông tin

¾ sự phụ thuộc thông tin

52. Điều gì không áp dụng đối với các đối tượng bảo mật thông tin của Liên bang Nga?

¾ tài nguyên thiên nhiên và năng lượng

¾ nguồn thông tin thuộc mọi loại

¾ hệ thống thông tin thuộc nhiều loại và mục đích khác nhau, công nghệ thông tin

¾ hệ thống hình thành ý thức cộng đồng

¾ quyền của công dân, pháp nhân và nhà nước trong việc tiếp nhận, phân phối, sử dụng và bảo vệ thông tin và sở hữu trí tuệ

53. Để viết một tác phẩm độc lập, bạn đã sao chép toàn văn văn bản pháp luật từ Internet. Bạn có vi phạm bản quyền khi làm như vậy không?

¾ không, vì các hành vi pháp lý quy định không phải là đối tượng của bản quyền

¾ không, nếu có sự cho phép của chủ sở hữu trang web

54. Có thể sử dụng các bài báo từ nhiều tạp chí và báo khác nhau về các chủ đề chính trị, kinh tế, tôn giáo hoặc xã hội để chuẩn bị tài liệu giáo dục sử dụng chúng không?

¾ có, sau khi nhận được sự đồng ý của chủ sở hữu bản quyền

¾ có, cho biết nguồn vay

¾ có, không cần phải có sự đồng ý của chủ sở hữu bản quyền, nhưng phải có chỉ dẫn bắt buộc về nguồn mượn và tên của các tác giả

55. Một bài viết đăng trên Internet có được coi là có bản quyền không?

¾ không, nếu bài viết được xuất bản lần đầu tiên trên Internet

¾ có, với điều kiện là bài báo đó được xuất bản trong vòng 1 năm

¾ có, vì bất kỳ bài viết nào cũng có bản quyền như một tác phẩm khoa học hoặc văn học

56. Trong trường hợp nào bản quyền sẽ không bị vi phạm khi chia sẻ trò chơi trên máy tính của bạn với người khác?

¾ nếu bản sao của các trò chơi máy tính này được xuất bản và lưu hành rộng rãi với sự đồng ý của tác giả

¾ nếu chủ sở hữu của các bản sao trò chơi máy tính được trao đổi đã mua chúng theo thỏa thuận mua bán/trao đổi

¾ nếu các điều kiện quy định trong các đoạn trước được đáp ứng đồng thời

¾ nếu chúng được phân phối bằng cách cho thuê

57. Các hành động (giai đoạn) chính do virus máy tính thực hiện:

¾ nhiễm trùng

¾ chặn chương trình

¾ biểu hiện

¾ sinh sản

¾ ngụy trang

58. Các chương trình diệt virus không bao gồm:

¾ thông dịch viên

¾ kiểm toán viên

¾ người canh gác

¾ vắc xin

59. Mục đích của chương trình phát hiện virus:

¾ phát hiện và tiêu diệt virus

¾ phát hiện virus

¾ xử lý các tập tin bị nhiễm

¾ tiêu hủy các tập tin bị nhiễm

¾ xử lý các tập tin bị nhiễm

¾ kiểm soát đường lây lan của virus

60. Nhược điểm của các sản phẩm chống vi-rút bao gồm:

¾ không thể xử lý các đối tượng “nghi ngờ”

¾ cài đặt đa dạng

¾ tự động quét tất cả các tập tin đã mở

¾ nhu cầu cập nhật liên tục cơ sở dữ liệu virus

61. Gói chống vi-rút là:

¾ Phần mềm diệt virus Kaspersky

¾ Phần mềm diệt virus Symantec

¾ Norton AntiVirus

¾ Phần mềm diệt virus của Microsoft

62. Các phương tiện bảo vệ tối thiểu cần thiết để chống lại virus bao gồm:

¾ chứng nhận cơ sở

¾ kiểm soát đầu ra

¾ kiểm soát đầu vào

¾ lưu trữ

¾ phòng ngừa

63. Chuyển đổi mật mã thông tin là:

¾ giới thiệu hệ thống mật khẩu

¾ mã hóa dữ liệu

¾ hạn chế tiếp cận thông tin

¾ sao lưu thông tin

64. Biện pháp bảo vệ chống tấn công mạng hiệu quả nhất:

¾ sử dụng tường lửa hoặc FireWall

¾ chỉ truy cập các trang Internet đáng tin cậy

¾ sử dụng các chương trình chống virus

¾ chỉ sử dụng các trình duyệt được chứng nhận khi truy cập Internet

65. Tường lửa là:

¾ chương trình thư

¾ giống như trình duyệt Internet

¾ giống như tường lửa

¾ biên tập đồ họa

66. Ghi nhật ký hành động của người dùng cho phép bạn:

¾ đảm bảo bí mật

¾ quản lý quyền truy cập thông tin

¾ tái tạo lại các sự kiện khi xảy ra mối đe dọa đối với an toàn thông tin

¾ phục hồi thông tin bị mất

67. Kiểm toán mạng bao gồm:

¾ quét mạng chống vi-rút

¾ kiểm tra người dùng có chọn lọc

¾ kiểm tra bảo mật của từng hệ thống mới khi nó được cài đặt trên mạng

¾ ghi lại hành động của tất cả người dùng trên mạng

68. Lớp cổng bảo mật:

¾ không sử dụng mã hóa dữ liệu

¾ đảm bảo truyền dữ liệu an toàn

¾ không thể sử dụng mã hóa khóa chung

¾ đây không phải là một giao thức, một chương trình

69. Phương tiện bảo vệ chống lại các cuộc tấn công mạng hiệu quả nhất là...

¾ Sử dụng tường lửa hoặc Tường lửa;

¾ Chỉ truy cập các trang Internet “đáng tin cậy”;

¾ Sử dụng các chương trình chống vi-rút;

¾ Chỉ sử dụng các chương trình trình duyệt được chứng nhận khi truy cập Internet.

70. Hình ảnh nén của văn bản nguồn thường được sử dụng...

¾ Là chìa khóa để mã hóa văn bản;

¾ Để tạo chữ ký số điện tử;

¾ Là khóa công khai trong thuật toán đối xứng;

¾ Do mã hóa văn bản để gửi nó qua kênh không an toàn.

71. Từ những điều sau: 1) mật khẩu truy cập, 2) bộ mô tả, 3) mã hóa, 4) băm, 5) thiết lập quyền truy cập, 6) cấm in ấn,

Các phương tiện bảo vệ thông tin máy tính bao gồm:

72. Việc lây nhiễm virus máy tính không thể xảy ra.

¾ Khi mở một tập tin đính kèm vào thư;

¾ Khi bật, tắt máy tính;

¾ Khi sao chép tập tin;

¾ Khi khởi chạy để thực thi một file chương trình.

73. Chữ ký số điện tử của một tài liệu cho phép bạn giải quyết vấn đề của (các) tài liệu ______________

¾ Chế độ truy cập

¾ Giá trị

¾ Tính xác thực

¾ Bí mật

74. Kết quả của việc thực hiện các mối đe dọa an toàn thông tin có thể là

¾ Tiêu hủy các thiết bị vào/ra

¾ Thay đổi cấu hình các thiết bị ngoại vi

¾ Phá hủy các kênh truyền thông

¾ Giới thiệu thông tin sai lệch

75. Chữ ký số điện tử thiết lập_____thông tin

¾ Tính nhất quán

¾ Tính xác thực

¾ Mâu thuẫn

76. Công cụ phần mềm bảo vệ thông tin trên mạng máy tính là:
1) Tường lửa, 2) Brandmauer, 3) Đánh hơi, 4) Sao lưu.

77. Để sử dụng an toàn các tài nguyên trên Internet, một giao thức được thiết kế...

Về nguyên tắc, tiên đề này rất rõ ràng: máy bay càng dễ tiếp cận, thuận tiện, nhanh và đa chức năng thì càng kém an toàn. Có thể đưa ra rất nhiều ví dụ. Ví dụ: dịch vụ DNS: tiện lợi nhưng nguy hiểm.

7.6 Phương pháp bảo vệ chống lại các cuộc tấn công từ xa trên Internet

7.6.1 Các phương pháp bảo vệ hành chính chống lại các cuộc tấn công từ xa

Để bảo vệ hệ thống khỏi nhiều loại ảnh hưởng từ xa, bước đúng đắn nhất theo hướng này là mời một chuyên gia bảo mật thông tin, người cùng với quản trị viên hệ thống của hệ thống sẽ cố gắng giải quyết toàn bộ các vấn đề để đảm bảo tính an toàn của hệ thống. mức độ an ninh cần thiết cho một máy bay phân phối. Đây là một nhiệm vụ phức tạp khá phức tạp, để giải quyết vấn đề này cần phải xác định cái gì (danh sách các đối tượng và tài nguyên được kiểm soát của RVS), từ cái gì (phân tích các mối đe dọa có thể có đối với RVS này) và cách thức (phát triển các yêu cầu, xác định chính sách bảo mật và phát triển các biện pháp quản trị và phần cứng-phần mềm để đảm bảo trên thực tế chính sách bảo mật đã phát triển được bảo vệ.

Đơn giản nhất và rẻ nhất là các phương pháp hành chính để bảo vệ khỏi những ảnh hưởng phá hoại thông tin. Các đoạn văn sau thảo luận về các phương pháp quản trị có thể có để bảo vệ chống lại các cuộc tấn công từ xa được mô tả ở trên trên các máy chủ Internet (nói chung là trên mạng IP).

Bảo vệ chống phân tích lưu lượng mạng

Kiểu tấn công này cho phép kẻ tấn công chặn bất kỳ thông tin nào được trao đổi giữa những người dùng từ xa bằng cách lập trình lắng nghe kênh truyền tin nhắn trên mạng nếu chỉ những tin nhắn không được mã hóa được truyền qua kênh. Nó cũng cho thấy rằng các giao thức ứng dụng cơ bản của truy cập từ xa TELNET và FTP không cung cấp khả năng bảo vệ bằng mật mã cơ bản cho ngay cả số nhận dạng người dùng (tên) và trình xác thực (mật khẩu) được truyền qua mạng. Do đó, các quản trị viên mạng rõ ràng có thể được khuyên không nên cho phép sử dụng các giao thức cơ bản này để cung cấp khả năng điều khiển từ xa. được ủy quyền truy cập vào tài nguyên của hệ thống của họ và coi việc phân tích lưu lượng mạng là mối đe dọa luôn hiện hữu không thể loại bỏ được, nhưng việc triển khai nó về cơ bản có thể trở nên vô nghĩa bằng cách sử dụng các thuật toán mã hóa mạnh để bảo vệ luồng IP.

Bảo vệ đối tượng sai

Việc sử dụng dịch vụ DNS trên Internet ở dạng hiện tại có thể cho phép kẻ bẻ khóa giành quyền kiểm soát toàn cầu đối với các kết nối bằng cách áp đặt một tuyến đường sai thông qua máy chủ của kẻ bẻ khóa - một máy chủ DNS giả. Cuộc tấn công từ xa này, dựa trên các lỗ hổng dịch vụ DNS tiềm ẩn, có thể dẫn đến hậu quả thảm khốc cho một số lượng lớn người dùng Internet và gây ra sự vi phạm nghiêm trọng về bảo mật thông tin của mạng toàn cầu này.

Không có biện pháp bảo vệ hành chính hoặc lập trình nào chống lại cuộc tấn công vào phiên bản hiện có của dịch vụ DNS. Giải pháp tốt nhất theo quan điểm bảo mật là không sử dụng dịch vụ DNS trên phân khúc bảo mật của bạn! Tất nhiên, việc bỏ hoàn toàn việc sử dụng tên khi truy cập vào các máy chủ sẽ rất bất tiện cho người dùng. Do đó, chúng ta có thể đề xuất giải pháp thỏa hiệp sau: sử dụng tên nhưng bỏ cơ chế tra cứu DNS từ xa. Đây là sự quay trở lại thiết kế tiền DNS với các máy chủ DNS chuyên dụng. Sau đó, trên mỗi máy trên mạng có một tệp máy chủ chứa thông tin về tên và địa chỉ IP tương ứng của tất cả các máy chủ trên mạng. Rõ ràng, ngày nay quản trị viên chỉ có thể nhập thông tin vào một tệp như vậy về các máy chủ mạng được người dùng của một phân khúc nhất định truy cập thường xuyên nhất. Do đó, việc sử dụng giải pháp này trong thực tế là cực kỳ khó khăn và dường như không thực tế (ví dụ: chúng ta nên làm gì với các trình duyệt sử dụng URL có tên?).

Để làm cho cuộc tấn công từ xa này trở nên khó khăn hơn, bạn có thể đề xuất quản trị viên sử dụng giao thức TCP cho dịch vụ DNS thay vì giao thức UDP, được cài đặt theo mặc định (mặc dù tài liệu về cách thay đổi nó không rõ ràng). Điều này sẽ khiến kẻ tấn công gặp khó khăn hơn nhiều khi gửi phản hồi DNS sai đến máy chủ mà không nhận được yêu cầu DNS.

Bảo vệ từ chối dịch vụ

Như đã được lưu ý nhiều lần, không có và không thể chấp nhận được các phương pháp bảo vệ chống lại việc từ chối dịch vụ trong tiêu chuẩn Internet IPv4 hiện có. Điều này là do trong tiêu chuẩn này không thể kiểm soát được lộ trình của tin nhắn. Do đó, không thể đảm bảo khả năng kiểm soát đáng tin cậy đối với các kết nối mạng, vì một chủ thể tương tác mạng có cơ hội chiếm số lượng kênh liên lạc không giới hạn với một đối tượng từ xa và đồng thời vẫn ẩn danh. Do đó, bất kỳ máy chủ nào trên Internet đều có thể bị tê liệt hoàn toàn khi sử dụng một cuộc tấn công từ chối dịch vụ từ xa.

Điều duy nhất có thể được đề xuất để tăng độ tin cậy của hệ thống trước cuộc tấn công này là sử dụng các máy tính mạnh nhất có thể. Số lượng và tần số bộ xử lý càng lớn thì dung lượng RAM càng lớn, hoạt động của hệ điều hành mạng sẽ càng đáng tin cậy khi gặp phải một “cơn bão” trực tiếp các yêu cầu sai lầm để tạo kết nối. Ngoài ra, bạn phải sử dụng hệ điều hành phù hợp với sức mạnh tính toán của mình với hàng đợi nội bộ có thể đáp ứng số lượng lớn yêu cầu kết nối. Rốt cuộc, chẳng hạn, nếu bạn cài đặt hệ điều hành Linux hoặc Windows NT trên siêu máy tính, trong đó độ dài hàng đợi cho các yêu cầu được xử lý đồng thời là khoảng 10 và thời gian chờ xóa hàng đợi là vài phút, thì bất chấp tất cả sức mạnh tính toán của máy tính, hệ điều hành sẽ bị tê liệt hoàn toàn khi bị tấn công.

Kết luận chung để chống lại cuộc tấn công này trong tiêu chuẩn IPv4 hiện có là như sau: cứ thư giãn và hy vọng rằng mình không được ai quan tâm, hoặc mua một siêu máy tính có hệ điều hành mạng tương ứng.

7.6.2. Các phương pháp bảo vệ phần mềm và phần cứng chống lại các cuộc tấn công từ xa trên Internet

Phần mềm và phần cứng đảm bảo an toàn thông tin liên lạc trong mạng máy tính bao gồm:

Bộ mã hóa lưu lượng mạng phần cứng;

Kỹ thuật tường lửa, được triển khai trên cơ sở phần mềm và phần cứng;

Các giao thức mật mã mạng an toàn;

Máy phân tích lưu lượng mạng phần mềm và phần cứng;

Hệ điều hành mạng an toàn.

Có một lượng lớn tài liệu dành cho các công cụ bảo mật này được thiết kế để sử dụng trên Internet (trong hai năm qua, các bài viết về chủ đề này có thể được tìm thấy trên hầu hết các số tạp chí máy tính).

7.6.2.1 Kỹ thuật tường lửa là phương tiện phần mềm và phần cứng chính để thực hiện chính sách bảo mật mạng trong phân đoạn mạng IP chuyên dụng

Tường lửa nên được coi là một dịch vụ bảo mật độc lập (và quan trọng về cơ bản). Việc triển khai mạng của dịch vụ này, được gọi là tường lửa (bản dịch được đề xuất của thuật ngữ tường lửa trong tiếng Anh), rất phổ biến; thuật ngữ được hình thành và sự phân loại các cơ chế được hình thành.

Công thức chính thức của vấn đề sàng lọc như sau. Hãy để có hai bộ hệ thống thông tin. Màn hình là một phương tiện để hạn chế quyền truy cập của khách hàng từ một nhóm

kết nối đến máy chủ từ một bộ khác. Màn hình thực hiện các chức năng của nó bằng cách kiểm soát tất cả các luồng thông tin giữa hai bộ hệ thống.

Trong trường hợp đơn giản nhất, màn hình bao gồm hai cơ chế, một trong số đó hạn chế sự di chuyển của dữ liệu và cơ chế thứ hai, ngược lại, tạo điều kiện thuận lợi cho nó (nghĩa là nó di chuyển dữ liệu). Trong trường hợp tổng quát hơn, sẽ thuận tiện hơn nếu coi màn hình (vỏ bán thấm) như một chuỗi các bộ lọc. Mỗi người trong số họ có thể trì hoãn (không bỏ lỡ) dữ liệu hoặc có thể ngay lập tức “ném” nó “sang phía bên kia”. Ngoài ra, có thể chuyển một phần dữ liệu sang bộ lọc tiếp theo để tiếp tục phân tích hoặc xử lý dữ liệu thay mặt người nhận và trả kết quả cho người gửi.

Ngoài chức năng kiểm soát truy cập, màn hình còn cung cấp khai thác gỗ trao đổi thông tin. Thông thường màn hình không đối xứng; các khái niệm “bên trong” được xác định cho nó

và “bên ngoài”. Trong trường hợp này, nhiệm vụ che chắn được hình thành là bảo vệ khu vực bên trong khỏi khu vực bên ngoài có khả năng gây thù địch. Do đó, tường lửa được cài đặt để bảo vệ mạng cục bộ của một tổ chức có quyền truy cập vào môi trường mở như Internet. Một ví dụ khác về màn hình là thiết bị bảo mật cổng, thiết bị này kiểm soát quyền truy cập vào cổng giao tiếp của máy tính trước và độc lập với tất cả các biện pháp kiểm soát bảo mật hệ thống khác.

Che chắn cho phép duy trì tính sẵn sàng của dịch vụ khu vực bên trong, giảm hoặc thậm chí loại bỏ tải trọng do hoạt động bên ngoài gây ra. Tính dễ bị tổn thương của các dịch vụ bảo mật nội bộ được giảm bớt do ban đầu kẻ tấn công bên thứ ba phải vượt qua màn hình nơi các cơ chế bảo vệ được cấu hình đặc biệt cẩn thận và chặt chẽ. Ngoài ra, hệ thống che chắn, trái ngược với hệ thống che chắn phổ thông, có thể được thiết kế theo cách đơn giản hơn và do đó an toàn hơn. Việc che chắn cũng giúp kiểm soát các luồng thông tin hướng đến khu vực bên ngoài, giúp duy trì tính bảo mật.

Một khái niệm quan trọng trong việc che chắn là vùng rủi ro, được định nghĩa là tập hợp các hệ thống mà kẻ tấn công có thể truy cập được sau khi vượt qua lá chắn hoặc bất kỳ thành phần nào của nó. Theo quy định, để tăng độ tin cậy của việc bảo vệ, màn hình được triển khai dưới dạng một tập hợp các phần tử, do đó, việc “hack” một trong số chúng vẫn chưa mở ra quyền truy cập vào toàn bộ mạng nội bộ.

Do đó, tường lửa, cả từ quan điểm kết hợp với các dịch vụ bảo mật khác và từ quan điểm của tổ chức nội bộ, đều sử dụng ý tưởng bảo vệ đa cấp, do đó mạng nội bộ chỉ xuất hiện trong vùng rủi ro nếu kẻ tấn công vượt qua một số tuyến bảo vệ được tổ chức không khác nhau.

Nói chung, kỹ thuật Tường lửa thực hiện ba chức năng chính sau:

1. Lọc lưu lượng mạng đa cấp

Việc lọc thường được thực hiện ở ba lớp OSI:

Mạng (IP); vận chuyển (TCP, UDP);

ứng dụng (FTP, TELNET, HTTP, SMTP, v.v.).

Lọc lưu lượng mạng là chức năng chính của hệ thống Tường lửa và cho phép quản trị viên bảo mật mạng thực hiện tập trung chính sách bảo mật mạng cần thiết

V. phân khúc dành riêng Mạng IP, nghĩa là bằng cách định cấu hình Tường lửa phù hợp, bạn có thể cho phép hoặc từ chối người dùng từ mạng bên ngoài truy cập vào các dịch vụ máy chủ tương ứng hoặc vào các máy chủ nằm trong phân đoạn được bảo vệ và quyền truy cập của người dùng từ mạng nội bộ vào tài nguyên tương ứng của mạng bên ngoài. Có thể rút ra một sự tương tự với quản trị viên hệ điều hành cục bộ, người này, để thực hiện chính sách bảo mật trong hệ thống, chỉ định các mối quan hệ phù hợp cần thiết giữa chủ thể (người dùng) và đối tượng hệ thống (ví dụ: tệp), điều này giúp hạn chế quyền truy cập của chủ thể hệ thống vào các đối tượng của nó theo quyền truy cập do quản trị viên chỉ định. Lý do tương tự cũng áp dụng cho việc lọc Tường lửa:

V. sẽ đóng vai trò là chủ thể tương tácĐịa chỉ IP của máy chủ người dùng và là đối tượng mà quyền truy cập phải bị hạn chế - Địa chỉ IP của máy chủ, giao thức truyền tải được sử dụng và dịch vụ truy cập từ xa.

2. Sơ đồ proxy với nhận dạng và xác thực bổ sung của người dùng trên máy chủ Tường lửa

Trước hết, sơ đồ proxy cho phép khi truy cập vào phân đoạn mạng được bảo vệ bằng Tường lửa, thực hiện nhận dạng và xác thực bổ sung của người dùng từ xa trên đó và thứ hai, nó là cơ sở để tạo mạng riêng với địa chỉ IP ảo. Ý nghĩa của sơ đồ proxy là tạo kết nối với đích cuối cùng thông qua máy chủ proxy trung gian (proxy từ tiếng Anh được ủy quyền) trên máy chủ Tường lửa. Việc nhận dạng bổ sung của người đăng ký có thể được thực hiện trên máy chủ proxy này.

3. Tạo mạng riêng (Private Virtual Network - PVN) với địa chỉ IP “ảo” (NAT - Network address Translation)

Nếu quản trị viên an ninh mạng cho rằng nên ẩn cấu trúc liên kết thực sự của mạng IP nội bộ của mình thì có thể khuyến nghị anh ta sử dụng hệ thống Tường lửa để tạo mạng riêng (mạng PVN). Các máy chủ trong mạng PVN được gán bất kỳ địa chỉ IP “ảo” nào. Để đánh địa chỉ cho một mạng bên ngoài (thông qua Tường lửa), cần phải sử dụng các máy chủ proxy được mô tả ở trên trên máy chủ Tường lửa hoặc sử dụng các hệ thống định tuyến đặc biệt, chỉ thông qua đó mới có thể đánh địa chỉ bên ngoài. Điều này xảy ra do địa chỉ IP ảo được sử dụng trong mạng PVN nội bộ rõ ràng không phù hợp với địa chỉ bên ngoài (địa chỉ bên ngoài là địa chỉ dành cho các thuê bao nằm ngoài mạng PVN). Do đó, máy chủ proxy hoặc công cụ định tuyến phải liên lạc với các thuê bao từ mạng bên ngoài từ địa chỉ IP thực của nó. Nhân tiện, sơ đồ này thuận tiện nếu bạn được phân bổ không đủ số lượng địa chỉ IP để tạo mạng IP (trong tiêu chuẩn IPv4, điều này luôn xảy ra, vì vậy, để tạo một mạng IP chính thức bằng sơ đồ proxy, chỉ một IP được phân bổ là đủ địa chỉ cho máy chủ proxy).

Vì vậy, bất kỳ thiết bị nào thực hiện ít nhất một trong các chức năng này của phương pháp Tường lửa đều là thiết bị Tường lửa. Ví dụ: không có gì ngăn cản bạn sử dụng máy tính có hệ điều hành FreeBSD hoặc Linux thông thường làm máy chủ Tường lửa, nhân hệ điều hành của chúng phải được biên dịch tương ứng. Tường lửa loại này sẽ chỉ cung cấp khả năng lọc lưu lượng IP đa cấp. Một điều nữa là các tổ hợp Tường lửa mạnh mẽ được cung cấp trên thị trường, được sản xuất trên cơ sở máy tính hoặc máy tính mini, thường thực hiện tất cả các chức năng của phương pháp Tường lửa và là các hệ thống Tường lửa có đầy đủ chức năng. Hình dưới đây cho thấy một phân đoạn mạng được tách biệt khỏi mạng bên ngoài bằng máy chủ Tường lửa có đầy đủ chức năng.

Cơm. 7.5. Sơ đồ tổng quát của một máy chủ Tường lửa đầy đủ chức năng.

Tuy nhiên, những nhà quản trị mạng IP đã khuất phục trước sự quảng cáo của hệ thống Tường lửa thì không nên nhầm tưởng rằng Tường lửa là sự đảm bảo cho khả năng bảo vệ tuyệt đối trước các cuộc tấn công từ xa trên Internet. Tường lửa không hẳn là một công cụ bảo mật vì nó là cơ hội để triển khai tập trung chính sách mạng nhằm hạn chế quyền truy cập từ xa vào các tài nguyên có sẵn trên mạng của bạn.

Yêu cầu hiện đại đối với tường lửa

1. Yêu cầu chính là đảm bảo tính bảo mật của mạng nội bộ (được bảo vệ) và kiểm soát hoàn toàn các kết nối và phiên liên lạc bên ngoài.

2. Hệ thống bảo mật phải có các biện pháp kiểm soát mạnh mẽ và linh hoạt để thực hiện dễ dàng và đầy đủ chính sách bảo mật của tổ chức.

3. Tường lửa phải hoạt động mà người dùng mạng cục bộ không chú ý và không gây khó khăn cho họ khi thực hiện các hành động pháp lý.

4. Bộ xử lý tường lửa phải nhanh, hoạt động đủ hiệu quả và có thể xử lý tất cả lưu lượng truy cập đến và đi vào thời gian cao điểm để không bị chặn bởi số lượng lớn cuộc gọi và làm gián đoạn hoạt động của nó.

5. Bản thân hệ thống bảo mật phải được bảo vệ một cách đáng tin cậy khỏi mọi ảnh hưởng trái phép, vì đây là chìa khóa dẫn đến thông tin bí mật trong tổ chức.

6. Hệ thống quản lý màn hình phải có khả năng thực thi tập trung chính sách bảo mật thống nhất cho các chi nhánh ở xa.

7. Tường lửa phải có phương tiện cho phép người dùng truy cập thông qua các kết nối bên ngoài, điều này cần thiết khi nhân viên của một tổ chức đi công tác.

Phân loại tường lửa được phân tích

Như đã biết, để tiến hành phân tích so sánh, trước hết cần phải phân loại các quỹ được phân tích. Do tường lửa tập trung vào việc bảo vệ thông tin trong các mạng mở như Internet/Intranet nên cách tiếp cận này dựa trên mô hình ISO/OSI (Tổ chức tiêu chuẩn hóa quốc tế) bảy lớp. Theo mô hình này, ME được phân loại theo mức độ thực hiện lọc: kênh, mạng, truyền tải, phiên hoặc ứng dụng. Do đó, chúng ta có thể nói về các bộ tập trung che chắn (lớp liên kết dữ liệu), bộ định tuyến (lớp mạng), che chắn vận chuyển (lớp vận chuyển), cổng lớp phiên (lớp phiên) và lá chắn ứng dụng (lớp ứng dụng).

Cần lưu ý rằng hiện nay, cùng với tường lửa một cấp, các tường lửa phức tạp bao trùm các cấp độ từ mạng đến ứng dụng đang ngày càng trở nên phổ biến, vì các sản phẩm này kết hợp các đặc tính tốt nhất của tường lửa một cấp thuộc nhiều loại khác nhau. Hình 1 thể hiện cấu trúc che chắn thông tin giữa hai hệ thống khi sử dụng mô hình tham chiếu ISO/OSI.

Đặc điểm của tường lửa hiện đại

Kết quả phân tích so sánh tinh tế hơn về các loại tường lửa khác nhau được đưa ra trong bảng. 1.

Loại tường lửa

Che chắn bộ định tuyến (tường lửa lọc gói)

Cổng sàng lọc

Nguyên tắc hoạt động

Việc lọc gói được thực hiện theo tiêu đề IP của gói theo tiêu chí: những gì không bị cấm rõ ràng đều được cho phép. Thông tin được phân tích là:

- địa chỉ của người gửi;

- địa chỉ của người nhận;

- thông tin ứng dụng hoặc giao thức;

- số cổng nguồn;

- số cổng người nhận.

Trao đổi thông tin xảy ra thông qua một máy chủ pháo đài được cài đặt giữa mạng nội bộ và bên ngoài, đưa ra quyết định về khả năng định tuyến lưu lượng. Có hai loại ES: cấp phiên và cấp ứng dụng

Thuận lợi

sai sót

· Giá thấp

· Tác động tối thiểu đến hiệu suất mạng

· Cấu hình và cài đặt dễ dàng

· Tính minh bạch của phần mềm

· Không có gói truyền qua trong trường hợp lỗi

· Cơ chế bảo vệ nâng cao so với EM, cho phép sử dụng thêm các công cụ xác thực cả phần mềm và phần cứng

· Sử dụng quy trình dịch địa chỉ để ẩn địa chỉ của máy chủ trên mạng đóng

· Lỗ hổng của cơ chế bảo vệ trước các kiểu tấn công mạng khác nhau, chẳng hạn như giả mạo địa chỉ nguồn gói, sửa đổi trái phép nội dung gói

· Thiếu công cụ kiểm tra và hỗ trợ nhật ký sự kiện trong một số sản phẩm

· Chỉ sử dụng mạnh mẽ máy chủ pháo đài do khối lượng tính toán lớn

· Thiếu minh bạch do ES gây ra sự chậm trễ trong quá trình truyền và yêu cầu các thủ tục xác thực từ người dùng

Che chắn mạng con	Một sự cô lập	· Khả năng ẩn nấp	· Chỉ sử dụng mạnh mẽ
	mạng con nằm	địa chỉ nội bộ	máy chủ pháo đài do
	giữa nội bộ và mở		khối lượng tính toán lớn
	các mạng đó. Tin nhắn từ	· Tăng độ tin cậy	· BẢO TRÌ
	mạng trong nhà đã được xử lý	mức độ bảo vệ	(cài đặt, cấu hình)
	cổng ứng dụng và quyền truy cập	· Khả năng tạo	chỉ có thể được thực hiện
	được đưa ra trong EP. Sau khi thành công	xe lớn	chuyên gia
	vượt qua kiểm soát ở chữ ký điện tử	fika giữa nội bộ
	cuối cùng họ bị khóa	cô ấy và mở se-
	mạng lưới. Yêu cầu từ đã đóng	khi đang sử dụng
	mạng được xử lý thông qua	nghiên cứu của một số ho-
	EP cũng vậy. Filterova-	pháo đài trong EP
	Việc này được thực hiện trên cơ sở	· “minh bạch”
	cipa: điều không được phép	bot cho bất kỳ mạng nào
	bị cấm	dịch vụ và bất kỳ
		các cấu trúc bên trong

Bảng 1 - Đặc điểm của tường lửa

Như có thể thấy trong Bảng 1, tường lửa là phương tiện phổ biến nhất để tăng cường các phương tiện bảo vệ truyền thống chống truy cập trái phép và được sử dụng để đảm bảo bảo vệ dữ liệu khi tổ chức tương tác mạng. Việc triển khai ME cụ thể phần lớn phụ thuộc vào nền tảng điện toán được sử dụng, tuy nhiên, tất cả các hệ thống thuộc lớp này đều sử dụng hai cơ chế, một trong số đó đảm bảo chặn lưu lượng mạng và cơ chế thứ hai, ngược lại, cho phép trao đổi dữ liệu. Đồng thời, một số phiên bản ME tập trung vào việc chặn lưu lượng truy cập không mong muốn, trong khi những phiên bản khác tập trung vào việc điều chỉnh việc trao đổi giữa các máy được phép.

Tường lửa FireWall/Plus được thiết kế để giải quyết ba vấn đề chính:

Bảo vệ tài nguyên mạng doanh nghiệp khỏi các cuộc tấn công từ Internet;

Thực hiện các biện pháp bảo mật (đối với máy chủ/nhóm máy chủ chuyên dụng);

Tách các phân đoạn mạng nội bộ để ngăn chặn các nỗ lực truy cập trái phép của người dùng nội bộ.

Một tính năng quan trọng của ME này là khả năng hoạt động với hơn 390 giao thức ở nhiều cấp độ khác nhau. Nhờ ngôn ngữ viết bộ lọc tích hợp mạnh mẽ, có thể mô tả bất kỳ điều kiện lọc nào. Tính năng này cho phép bạn giải quyết hiệu quả hơn vấn đề tách các phân đoạn của mạng công ty sử dụng các sản phẩm hoạt động với ngăn xếp giao thức TCP/IP, IPX và DECNet. Cơ chế mô tả các giao thức cấp ứng dụng cho phép bạn tạo các sơ đồ cụ thể để hạn chế quyền truy cập của người dùng. FireWall/Plus cung cấp bảo mật cho các ứng dụng Web, FTR, URL, ActiveX và Java cũng như email.

Tường lửa FireWall/Plus phát hiện và chống lại các cuộc tấn công sau:

Tấn công xác thực máy chủ;

Tấn công vào giao thức ngón tay (từ bên ngoài và bên trong);

Xác định số lượng gói ban đầu của kết nối TCP;

Chuyển hướng bất hợp pháp;

Tấn công truy cập DNS;

Tấn công xác thực FTR;

Tấn công chuyển tập tin trái phép;

Tấn công khởi động lại từ xa;

giả mạo địa chỉ IP;

giả mạo địa chỉ MAC;

Các cuộc tấn công sẵn có (cơn bão yêu cầu);

Tấn công vào cổng dự phòng của máy chủ;

Tấn công bằng cách sử dụng máy chủ truy cập từ xa;

Tấn công vào quyền truy cập FTR ẩn danh.

Số lượng các cuộc tấn công bị chặn này chủ yếu được xác định bởi thực tế là FireWall/Plus hỗ trợ ba phương pháp dịch địa chỉ mạng: một sang một; một đến nhiều; nhiều nhiều. Nó không cần địa chỉ IP riêng của nó. Tính năng này làm cho nó hoàn toàn minh bạch trên mạng và hầu như không thể bị tấn công trước các cuộc tấn công khác nhau. Các khả năng được coi là của tường lửa FireWall/Plus, đại diện cho thế hệ tường lửa hiện đại, cho thấy lĩnh vực công cụ bảo mật này đang phát triển năng động như thế nào.

Chứng nhận tường lửa Hiện tại, Ủy ban Kỹ thuật Nhà nước Nga đã thông qua tài liệu làm việc “Công cụ máy tính

công nghệ. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập trái phép vào thông tin.” Tài liệu này không chỉ cho phép hợp lý hóa các yêu cầu bảo vệ thông tin đối với tường lửa mà còn so sánh các đặc tính bảo vệ của các sản phẩm loại này.

Tính đến triển vọng trong lĩnh vực chứng nhận các phương tiện bảo mật thông tin, dưới sự lãnh đạo của Ủy ban Kỹ thuật Nhà nước Nga, Trung tâm An toàn Thông tin (Yubileiny, Khu vực Moscow) đã tổ chức phát triển phương pháp tiêu chuẩn để tiến hành kiểm tra chứng nhận tường lửa. . Kỹ thuật này đã được thử nghiệm tại một số phòng thí nghiệm được công nhận trong hệ thống chứng nhận của Ủy ban Kỹ thuật Nhà nước Nga. Hiện tại, tường lửa bảo mật cao được chứng nhận đã xuất hiện trên thị trường Nga, bao gồm Zastava-Jet (lớp 2), Zastava và AltaVista Tường lửa 97 (lớp bảo mật 3). Những sản phẩm này cung cấp sự bảo vệ đáng tin cậy cho các nguồn thông tin khỏi bị truy cập trái phép.

7.6.2.2 Các phương pháp bảo vệ phần mềm được sử dụng trên Internet

ĐẾN Các phương pháp bảo vệ phần mềm trên Internet trước hết bao gồm các giao thức mật mã an toàn, với việc sử dụng chúng sẽ có thể bảo vệ kết nối một cách đáng tin cậy. Đoạn tiếp theo sẽ thảo luận về các phương pháp hiện đang tồn tại trên Internet và các giao thức tiền điện tử chính đã được phát triển.

ĐẾN Một loại phương pháp phần mềm khác để bảo vệ chống lại các cuộc tấn công từ xa bao gồm các chương trình tồn tại ngày nay, mục đích chính của nó là phân tích lưu lượng mạng để phát hiện sự hiện diện của một trong những cuộc tấn công từ xa đang hoạt động đã biết.

1. Công nghệ SKIP và giao thức mật mã SSL, S-HTTP là phương tiện chính để bảo vệ kết nối và dữ liệu truyền trên Internet

Rõ ràng, một trong những lý do chính dẫn đến sự thành công của các cuộc tấn công từ xa vào máy bay phân tán nằm ở việc sử dụng các giao thức trao đổi mạng không thể xác định một cách đáng tin cậy các đối tượng ở xa hoặc bảo vệ kết nối và dữ liệu được truyền qua nó. Do đó, điều khá tự nhiên là trong quá trình hoạt động của Internet, nhiều giao thức mạng an toàn khác nhau đã được tạo bằng cách sử dụng cả mật mã khóa riêng và khóa chung. Mật mã cổ điển với các thuật toán mã hóa đối xứng giả định rằng bên truyền và bên nhận có khóa đối xứng (giống hệt nhau) để mã hóa và giải mã tin nhắn. Các khóa này được cho là sẽ được phân phối trước cho một số lượng hữu hạn người đăng ký, vấn đề này trong mật mã học được gọi là vấn đề phân phối khóa tĩnh tiêu chuẩn. Rõ ràng là việc sử dụng mật mã cổ điển với các khóa đối xứng chỉ có thể thực hiện được trên một số đối tượng nhất định. Trên Internet, rõ ràng là không thể giải quyết vấn đề phân phối khóa tĩnh cho tất cả người dùng. Tuy nhiên, một trong những giao thức trao đổi an toàn đầu tiên trên Internet là giao thức Kerberos, dựa chính xác vào việc phân phối khóa tĩnh cho người dùng cuối.

số lượng lớn người đăng ký. Các cơ quan tình báo của chúng tôi buộc phải đi theo con đường tương tự, sử dụng mật mã đối xứng cổ điển, khi phát triển các giao thức mật mã an toàn cho Internet. Điều này được giải thích là do vì lý do nào đó vẫn chưa có thuật toán mật mã độc quyền có khóa chung. Ở mọi nơi trên thế giới, các tiêu chuẩn mã hóa tương tự đã được áp dụng và chứng nhận từ lâu, nhưng rõ ràng là chúng ta lại đang đi theo hướng khác!

Vì vậy, rõ ràng là để tạo cơ hội bảo vệ toàn bộ nhóm người dùng Internet chứ không phải một tập hợp con giới hạn của nó, cần phải sử dụng các khóa được tạo động trong quá trình tạo kết nối ảo khi sử dụng mật mã khóa chung . Tiếp theo, chúng ta sẽ xem xét các phương pháp và giao thức chính hiện nay cung cấp bảo mật kết nối.

SKIP (Giao thức Internet khóa an toàn) là một công nghệ được gọi là tiêu chuẩn đóng gói gói IP, cho phép, trong tiêu chuẩn IPv4 hiện có, bảo vệ kết nối và dữ liệu được truyền qua nó ở cấp độ mạng. Điều này đạt được như sau: gói SKIP là gói IP thông thường, trường dữ liệu là tiêu đề SKIP có định dạng được xác định theo thông số kỹ thuật và mật mã (dữ liệu được mã hóa). Cấu trúc này của gói SKIP cho phép nó được chuyển tiếp liền mạch đến bất kỳ máy chủ nào trên Internet (việc đánh địa chỉ mạng xảy ra bằng cách sử dụng tiêu đề IP thông thường trong gói SKIP). Người nhận cuối cùng của gói SKIP, sử dụng thuật toán do nhà phát triển xác định trước, giải mã mật mã và tạo thành gói TCP hoặc UDP thông thường, được truyền đến mô-đun thông thường tương ứng (TCP hoặc UDP) của nhân hệ điều hành. Về nguyên tắc, không có gì ngăn cản nhà phát triển hình thành tiêu đề ban đầu của riêng mình, khác với tiêu đề SKIP, theo sơ đồ này.

S-HTTP (HTTP bảo mật) là một đặc biệt

Giao thức HTTP được bảo vệ cho Web. Giao thức S-HTTP chỉ cho phép bảo vệ bằng mật mã đáng tin cậy đối với các tài liệu HTTP của máy chủ Web và hoạt động ở cấp ứng dụng của mô hình OSI. Tính năng này của giao thức S-HTTP làm cho nó trở thành một phương tiện bảo vệ kết nối hoàn toàn chuyên dụng và do đó, không thể sử dụng nó để bảo vệ tất cả các giao thức ứng dụng khác (FTP, TELNET, SMTP, v.v.). Ngoài ra, không có cái nào hiện có

Ngày nay, các trình duyệt Web chính (cả Netscape Navigator 3.0 và Microsoft Explorer 3.0) đều không được hỗ trợ

thực hiện giao thức này.

SSL (Lớp cổng bảo mật) - được phát triển bởi Netscape - là giao thức bảo mật kết nối phổ quát hoạt động ở cấp phiên OSI. Theo chúng tôi, giao thức này, sử dụng mật mã khóa công khai, ngày nay là công cụ phổ quát duy nhất cho phép bạn bảo mật động mọi kết nối bằng bất kỳ giao thức ứng dụng nào (DNS, FTP, TELNET, SMTP, v.v.). Điều này là do SSL, không giống như S-HTTP, hoạt động ở cấp phiên OSI trung gian (giữa truyền tải - TCP, UDP - và ứng dụng - FTP, TELNET, v.v.). Trong trường hợp này, quá trình tạo kết nối SSL ảo diễn ra theo sơ đồ Diffie và Hellman (mục 6.2), cho phép bạn phát triển khóa phiên chống mật mã, sau đó được người đăng ký kết nối SSL sử dụng để mã hóa đường truyền được truyền. tin nhắn. Giao thức SSL ngày nay trên thực tế đã trở thành tiêu chuẩn bảo mật chính thức cho các kết nối HTTP, tức là để bảo vệ các máy chủ Web. Tất nhiên, nó được hỗ trợ bởi Netscape Navigator 3.0 và kỳ lạ thay là bởi Microsoft Explorer 3.0 (hãy nhớ rằng cuộc chiến trình duyệt khốc liệt giữa Netscape và Microsoft). Tất nhiên, để thiết lập kết nối SSL với máy chủ Web, bạn cũng cần phải có máy chủ Web hỗ trợ SSL. Các phiên bản máy chủ Web như vậy đã tồn tại (ví dụ: SSL-Apache). Khi kết thúc cuộc trò chuyện về giao thức SSL, người ta không thể không lưu ý một thực tế sau: Luật pháp Hoa Kỳ cho đến gần đây đã cấm xuất khẩu các hệ thống mật mã có độ dài khóa hơn 40 bit (gần đây nó đã được tăng lên 56 bit). Do đó, các phiên bản trình duyệt hiện tại sử dụng khóa 40 bit. Qua thử nghiệm, các nhà phân tích mật mã nhận thấy rằng trong phiên bản hiện tại của giao thức SSL, mã hóa bằng khóa 40 bit không phải là biện pháp bảo vệ đáng tin cậy cho các tin nhắn được truyền qua mạng, vì bằng cách tìm kiếm đơn giản (240 kết hợp), khóa này được chọn trong thời gian 1,5 (trên siêu máy tính Silicon Graphics) lên tới 7 ngày (120 máy trạm và một số máy tính mini đã được sử dụng trong quá trình tính toán).

Vì vậy, rõ ràng là việc sử dụng rộng rãi các giao thức trao đổi an toàn này, đặc biệt là SSL (tất nhiên, với độ dài khóa lớn hơn 40 bit), sẽ tạo ra một rào cản đáng tin cậy đối với tất cả các loại giao thức điều khiển từ xa.

Thủ tục phát hiện các cuộc tấn công mạng.

1. Phân loại tấn công mạng

1.1. Máy dò gói

Trình thám thính gói là một chương trình ứng dụng sử dụng card mạng hoạt động ở chế độ bừa bãi ( ở chế độ này, tất cả các gói nhận được qua các kênh vật lý sẽ được bộ điều hợp mạng gửi đến ứng dụng để xử lý). Trong trường hợp này, sniffer chặn tất cả các gói mạng được truyền qua một miền cụ thể.

1.2. giả mạo IP

Giả mạo IP xảy ra khi một hacker, bên trong hoặc bên ngoài hệ thống, mạo danh người dùng được ủy quyền. Điều này có thể được thực hiện theo hai cách. Đầu tiên, tin tặc có thể sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền hoặc địa chỉ bên ngoài được ủy quyền được phép truy cập vào một số tài nguyên mạng nhất định. Các cuộc tấn công giả mạo IP thường là điểm khởi đầu cho các cuộc tấn công khác. Một ví dụ điển hình là cuộc tấn công DoS, bắt đầu bằng địa chỉ của người khác, che giấu danh tính thực sự của hacker.

Thông thường, việc giả mạo IP được giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa ứng dụng khách và máy chủ hoặc qua kênh liên lạc giữa các thiết bị ngang hàng. Để liên lạc hai chiều, hacker phải thay đổi tất cả các bảng định tuyến để hướng lưu lượng truy cập đến địa chỉ IP sai. Tuy nhiên, một số tin tặc thậm chí không cố gắng nhận được phản hồi từ ứng dụng. Nếu nhiệm vụ chính là lấy một tệp quan trọng từ hệ thống thì phản hồi của ứng dụng không thành vấn đề.

Nếu tin tặc quản lý để thay đổi bảng định tuyến và hướng lưu lượng truy cập đến địa chỉ IP sai, tin tặc sẽ nhận được tất cả các gói và có thể phản hồi chúng như thể anh ta là người dùng được ủy quyền.

1.3. Từ chối dịch vụ ( Từ chối dịch vụ - DoS)

DoS là hình thức tấn công nổi tiếng nhất của hacker. Những kiểu tấn công này là khó tạo ra sự bảo vệ 100% nhất.

Các loại DoS nổi tiếng nhất:

TCP SYN Flood Ping của Mạng lũ Death Tribe ( TFN);
Mạng lưới lũ lụt bộ lạc 2000 ( TFN2K);
Trinco;
Stacheldracht;
Ba ngôi.

Các cuộc tấn công DoS khác với các loại tấn công khác. Chúng không nhằm mục đích giành quyền truy cập vào mạng hoặc lấy bất kỳ thông tin nào từ mạng đó. Một cuộc tấn công DoS khiến mạng không thể sử dụng bình thường bằng cách vượt quá giới hạn chấp nhận được của mạng, hệ điều hành hoặc ứng dụng.

Khi sử dụng một số ứng dụng máy chủ (chẳng hạn như máy chủ Web hoặc máy chủ FTP) Các cuộc tấn công DoS có thể đơn giản như việc chiếm đoạt tất cả các kết nối có sẵn cho các ứng dụng này và khiến chúng bận rộn, ngăn cản việc phục vụ người dùng bình thường. Các cuộc tấn công DoS có thể sử dụng các giao thức Internet phổ biến như TCP và ICMP ( Giao thức Thông báo Kiểm soát Internet). Hầu hết các cuộc tấn công DoS không dựa vào lỗi phần mềm hoặc lỗ hổng bảo mật mà dựa vào những điểm yếu chung trong kiến trúc hệ thống. Một số cuộc tấn công làm tê liệt hiệu suất mạng bằng cách làm tràn ngập các gói không mong muốn và không cần thiết hoặc thông tin sai lệch về trạng thái hiện tại của tài nguyên mạng. Kiểu tấn công này khó ngăn chặn vì cần có sự phối hợp với ISP. Nếu nhà cung cấp không thể dừng lưu lượng truy cập nhằm làm tràn mạng của bạn, thì khi vào mạng, bạn sẽ không thể thực hiện việc này nữa vì tất cả băng thông sẽ bị chiếm dụng. Khi kiểu tấn công này được thực hiện đồng thời thông qua nhiều thiết bị, cuộc tấn công là DoS phân tán ( DDoS - DoS phân tán).

1.4. Tấn công mật khẩu

Tin tặc có thể thực hiện các cuộc tấn công mật khẩu bằng một số phương pháp, chẳng hạn như vũ lực ( tấn công vũ phu), ngựa Trojan, giả mạo IP và đánh hơi gói tin. Mặc dù thông tin đăng nhập và mật khẩu thường có thể lấy được thông qua việc giả mạo IP và đánh hơi gói tin, nhưng tin tặc thường cố gắng đoán mật khẩu và đăng nhập thông qua nhiều lần truy cập. Cách tiếp cận này được gọi là liệt kê đơn giản (tấn công bạo lực). Thông thường, một cuộc tấn công như vậy sử dụng một chương trình đặc biệt để cố gắng truy cập vào tài nguyên công cộng ( ví dụ: đến máy chủ). Kết quả là nếu hacker có được quyền truy cập vào tài nguyên, anh ta sẽ có được quyền truy cập vào các quyền của một người dùng thông thường có mật khẩu đã được đoán. Nếu người dùng này có các đặc quyền truy cập quan trọng, tin tặc có thể tạo một "thẻ" để truy cập trong tương lai và thẻ này vẫn có hiệu lực ngay cả khi người dùng thay đổi mật khẩu và thông tin đăng nhập.

Một vấn đề khác xảy ra khi người dùng sử dụng cùng một ( ngay cả khi nó rất tốt) mật khẩu để truy cập vào nhiều hệ thống: hệ thống công ty, cá nhân và Internet. Vì mật khẩu chỉ mạnh bằng máy chủ yếu nhất nên hacker học được mật khẩu thông qua máy chủ đó sẽ có quyền truy cập vào tất cả các hệ thống khác sử dụng cùng một mật khẩu.

1.5. Các cuộc tấn công trung gian

Đối với cuộc tấn công Man-in-the-Middle, hacker cần quyền truy cập vào các gói được truyền qua mạng. Ví dụ: quyền truy cập vào tất cả các gói được truyền từ nhà cung cấp đến bất kỳ mạng nào khác có thể được lấy bởi nhân viên của nhà cung cấp này. Trình đánh hơi gói, giao thức truyền tải và giao thức định tuyến thường được sử dụng cho kiểu tấn công này. Các cuộc tấn công được thực hiện với mục đích đánh cắp thông tin, chặn phiên hiện tại và giành quyền truy cập vào tài nguyên mạng riêng, để phân tích lưu lượng truy cập và lấy thông tin về mạng và người dùng, để thực hiện các cuộc tấn công DoS, làm biến dạng dữ liệu được truyền và nhập thông tin trái phép vào các phiên mạng.

1.6. Tấn công cấp ứng dụng

Các cuộc tấn công cấp ứng dụng có thể được thực hiện theo nhiều cách. Phổ biến nhất trong số này là khai thác điểm yếu trong phần mềm máy chủ ( gửi thư, HTTP, FTP). Bằng cách khai thác những điểm yếu này, tin tặc có thể truy cập vào máy tính với tư cách là người dùng đang chạy ứng dụng ( thông thường đây không phải là người dùng đơn giản mà là quản trị viên đặc quyền có quyền truy cập hệ thống). Thông tin về các cuộc tấn công cấp ứng dụng được công bố rộng rãi để giúp quản trị viên khắc phục sự cố bằng cách sử dụng các mô-đun khắc phục ( bản vá lỗi). Vấn đề chính của các cuộc tấn công lớp ứng dụng là chúng thường sử dụng các cổng được phép đi qua tường lửa. Ví dụ: một hacker khai thác điểm yếu đã biết trong máy chủ Web sẽ thường sử dụng cổng 80 trong cuộc tấn công TCP. Vì máy chủ Web cung cấp các trang Web cho người dùng nên tường lửa phải cho phép truy cập vào cổng này. Theo quan điểm của tường lửa, cuộc tấn công được coi là lưu lượng truy cập tiêu chuẩn trên cổng 80.

1.7. Mạng thông minh

Trinh sát mạng đề cập đến việc thu thập thông tin mạng bằng cách sử dụng dữ liệu và ứng dụng có sẵn công khai. Khi chuẩn bị tấn công mạng, tin tặc thường cố gắng lấy càng nhiều thông tin về mạng đó càng tốt. Việc trinh sát mạng được thực hiện dưới dạng truy vấn DNS, quét ping và quét cổng. Truy vấn DNS giúp bạn biết ai sở hữu một miền cụ thể và địa chỉ nào được gán cho miền đó. Kiểm tra tiếng vang ( quét ping) được phân giải bằng DNS cho phép bạn xem máy chủ nào đang thực sự chạy trong một môi trường nhất định. Sau khi nhận được danh sách các máy chủ, hacker sử dụng các công cụ quét cổng để biên soạn danh sách đầy đủ các dịch vụ được các máy chủ đó hỗ trợ. Cuối cùng, hacker phân tích đặc điểm của các ứng dụng đang chạy trên máy chủ. Kết quả là, thông tin thu được có thể được sử dụng để hack.

1.8. Vi phạm lòng tin

Loại hành động này không "tấn công" hoặc "tấn công". Nó đại diện cho việc khai thác độc hại các mối quan hệ tin cậy tồn tại trong mạng. Một ví dụ là một hệ thống được cài đặt bên ngoài tường lửa có mối quan hệ tin cậy với hệ thống được cài đặt bên trong tường lửa. Nếu hệ thống bên ngoài bị xâm phạm, hacker có thể sử dụng mối quan hệ tin cậy để xâm nhập vào hệ thống được bảo vệ bởi tường lửa.

1.9. Cổng chuyển tiếp

Chuyển tiếp cổng là một hình thức lạm dụng lòng tin, trong đó máy chủ bị xâm nhập được sử dụng để chuyển lưu lượng truy cập qua tường lửa mà lẽ ra sẽ bị từ chối. Một ví dụ về ứng dụng có thể cung cấp quyền truy cập như vậy là netcat.

1.10. Truy cập trái phép

Truy cập trái phép không thể được coi là một loại tấn công riêng biệt. Hầu hết các cuộc tấn công mạng được thực hiện để có được quyền truy cập trái phép. Để đoán thông tin đăng nhập telnet, trước tiên hacker phải nhận được lời nhắc telnet trên hệ thống của mình. Sau khi kết nối cổng telnet, trên màn hình xuất hiện thông báo "cần có sự cho phép để sử dụng tài nguyên này" (Để sử dụng các tài nguyên này, bạn cần có sự cho phép). Nếu sau đó hacker tiếp tục cố gắng truy cập, họ sẽ bị coi là "không được phép". Nguồn của các cuộc tấn công như vậy có thể ở bên trong mạng hoặc bên ngoài.

1.11. Virus và các ứng dụng như "con ngựa thành Troy"

Máy trạm của khách hàng rất dễ bị nhiễm virus và ngựa Trojan. "con ngựa thành Troy"- đây không phải là một chương trình chèn mà là một chương trình thực sự trông giống như một ứng dụng hữu ích nhưng thực tế lại thực hiện một vai trò có hại.

2. Phương pháp chống tấn công mạng

2.1. Bạn có thể giảm thiểu mối đe dọa đánh hơi gói bằng cách sử dụng các công cụ sau:

2.1.1. Xác thực - Xác thực mạnh là biện pháp bảo vệ đầu tiên chống lại việc đánh cắp gói tin. Dưới "mạnh" Chúng tôi hiểu rằng phương pháp xác thực này rất khó bỏ qua. Một ví dụ về xác thực như vậy là mật khẩu một lần ( OTP - Mật khẩu dùng một lần). OTP là công nghệ xác thực hai yếu tố kết hợp những gì bạn có với những gì bạn biết. Dưới "thẻ" ( mã thông báo) có nghĩa là phần cứng hoặc phần mềm tạo ra ( ngẫu nhiên) mật khẩu dùng một lần duy nhất. Nếu tin tặc phát hiện ra mật khẩu này bằng cách sử dụng trình thám thính, thông tin này sẽ vô ích vì lúc đó mật khẩu đã được sử dụng và đã bị gỡ bỏ. Phương pháp chống đánh hơi này chỉ có hiệu quả trong việc chặn mật khẩu.

2.1.2. Cơ sở hạ tầng chuyển mạch - Một cách khác để chống lại việc đánh hơi gói trong môi trường mạng là tạo cơ sở hạ tầng chuyển mạch, nơi tin tặc chỉ có thể truy cập lưu lượng truy cập đến cổng mà chúng được kết nối. Cơ sở hạ tầng chuyển đổi không loại bỏ được mối đe dọa đánh hơi, nhưng nó làm giảm đáng kể mức độ nghiêm trọng của nó.

2.1.3. Trình chống đánh hơi - Cách thứ ba để chống lại việc đánh hơi là cài đặt phần cứng hoặc phần mềm có khả năng nhận dạng các trình đánh hơi đang chạy trên mạng của bạn. Những công cụ này không thể loại bỏ hoàn toàn mối đe dọa, nhưng cũng giống như nhiều công cụ bảo mật mạng khác, chúng được đưa vào hệ thống bảo vệ tổng thể. Cái gọi là "chống đánh hơi"đo thời gian phản hồi của máy chủ và xác định xem máy chủ có phải xử lý "thêm" giao thông.

2.1.4. Mật mã học - Cách hiệu quả nhất để chống lại việc đánh hơi gói tin không ngăn chặn việc chặn hoặc nhận ra công việc của những kẻ đánh hơi, nhưng làm cho công việc này trở nên vô ích. Nếu kênh liên lạc được bảo mật bằng mật mã, điều này có nghĩa là tin tặc không chặn tin nhắn mà chặn văn bản mã hóa (nghĩa là một chuỗi bit không thể hiểu được).

2.2. Mối đe dọa giả mạo có thể được giảm thiểu ( nhưng không bị loại bỏ) sử dụng các biện pháp sau:

2.2.1. Kiểm soát truy cập - Cách dễ nhất để ngăn chặn việc giả mạo IP là cấu hình các điều khiển truy cập đúng cách. Để giảm hiệu quả của việc giả mạo IP, kiểm soát truy cập được định cấu hình để từ chối mọi lưu lượng truy cập đến từ mạng bên ngoài có địa chỉ nguồn phải nằm trong mạng của bạn. Điều này giúp chống lại việc giả mạo IP, trong đó chỉ có địa chỉ nội bộ mới được cấp phép. Nếu một số địa chỉ mạng bên ngoài cũng được cấp phép thì phương pháp này sẽ không hiệu quả.

2.2.2. Lọc RFC 2827 - ngăn chặn nỗ lực giả mạo mạng của người khác bởi người dùng mạng công ty. Để thực hiện điều này, cần phải từ chối mọi lưu lượng gửi đi có địa chỉ nguồn không phải là một trong các địa chỉ IP của Ngân hàng. Kiểu lọc này, được gọi là "RFC 2827", cũng có thể được thực hiện bởi ISP ( ISP). Kết quả là tất cả lưu lượng truy cập không có địa chỉ nguồn dự kiến trên một giao diện cụ thể đều bị từ chối.

2.2.3. Phương pháp hiệu quả nhất để chống giả mạo IP cũng giống như phương pháp đánh hơi gói: bạn cần làm cho cuộc tấn công hoàn toàn không hiệu quả. Việc giả mạo IP chỉ có thể hoạt động nếu xác thực dựa trên địa chỉ IP. Do đó, việc giới thiệu các phương thức xác thực bổ sung khiến kiểu tấn công này trở nên vô dụng. Loại xác thực bổ sung tốt nhất là mật mã. Nếu điều này là không thể, xác thực hai yếu tố bằng mật khẩu một lần có thể mang lại kết quả tốt.

2.3. Mối đe dọa của các cuộc tấn công DoS có thể được giảm bớt bằng những cách sau:

2.3.1. Tính năng chống giả mạo - Cấu hình đúng tính năng chống giả mạo trên bộ định tuyến và tường lửa của bạn sẽ giúp giảm nguy cơ DoS. Các tính năng này tối thiểu phải bao gồm tính năng lọc RFC 2827. Nếu tin tặc không thể che giấu danh tính thực sự của mình thì hắn khó có thể thực hiện một cuộc tấn công.

2.3.2. Tính năng chống DoS - Cấu hình thích hợp các tính năng chống DoS trên bộ định tuyến và tường lửa có thể hạn chế hiệu quả của các cuộc tấn công. Các chức năng này giới hạn số lượng kênh nửa mở tại bất kỳ thời điểm nào.

2.3.3. Hạn chế lưu lượng giao thông ( giới hạn tốc độ giao thông) – thỏa thuận với nhà cung cấp ( ISP) về việc hạn chế lưu lượng giao thông. Kiểu lọc này cho phép bạn giới hạn lượng lưu lượng truy cập không quan trọng đi qua mạng. Một ví dụ phổ biến là giới hạn lượng lưu lượng ICMP chỉ được sử dụng cho mục đích chẩn đoán. Tấn công ( D) DoS thường sử dụng ICMP.

2.3.4. Chặn địa chỉ IP - sau khi phân tích cuộc tấn công DoS và xác định phạm vi địa chỉ IP mà cuộc tấn công được thực hiện, hãy liên hệ với nhà cung cấp của bạn để chặn chúng.

2.4. Có thể tránh được các cuộc tấn công mật khẩu bằng cách không sử dụng mật khẩu văn bản đơn giản. Mật khẩu một lần và/hoặc xác thực bằng mật mã hầu như có thể loại bỏ mối đe dọa từ các cuộc tấn công như vậy. Không phải tất cả các ứng dụng, máy chủ và thiết bị đều hỗ trợ các phương thức xác thực trên.

Khi sử dụng mật khẩu thông thường, bạn cần nghĩ ra một mật khẩu khó đoán. Độ dài mật khẩu tối thiểu phải có ít nhất tám ký tự. Mật khẩu phải bao gồm ký tự in hoa, số và ký tự đặc biệt ( #, %, $, v.v.). Những mật khẩu tốt nhất thường khó đoán và khó nhớ, buộc người dùng phải ghi mật khẩu ra giấy.

2.5. Các cuộc tấn công trung gian chỉ có thể được chống lại một cách hiệu quả bằng cách sử dụng mật mã. Nếu một hacker chặn dữ liệu từ một phiên được mã hóa, những gì sẽ xuất hiện trên màn hình của anh ta không phải là tin nhắn bị chặn mà là một tập hợp ký tự vô nghĩa. Lưu ý rằng nếu tin tặc lấy được thông tin về phiên mật mã ( ví dụ: khóa phiên), điều này có thể khiến cuộc tấn công Man-in-the-Middle có thể xảy ra ngay cả trong môi trường được mã hóa.

2.6. Không thể loại bỏ hoàn toàn các cuộc tấn công cấp ứng dụng. Tin tặc liên tục phát hiện và công bố những lỗ hổng mới trong các chương trình ứng dụng trên Internet. Điều quan trọng nhất là quản trị hệ thống tốt.

Các biện pháp bạn có thể thực hiện để giảm thiểu khả năng bị tổn thương trước kiểu tấn công này:

đọc và/hoặc phân tích các tệp nhật ký hệ điều hành và tệp nhật ký mạng bằng các ứng dụng phân tích đặc biệt;
cập nhật kịp thời các phiên bản hệ điều hành và ứng dụng cũng như cài đặt các mô-đun chỉnh sửa mới nhất ( bản vá lỗi);
sử dụng hệ thống phát hiện tấn công ( ID).

2.7. Không thể loại bỏ hoàn toàn trí thông minh mạng. Nếu bạn tắt tính năng phản hồi tiếng vang và tiếng vang ICMP trên các bộ định tuyến biên, bạn sẽ thoát khỏi quá trình kiểm tra ping nhưng sẽ mất dữ liệu cần thiết để chẩn đoán lỗi mạng. Ngoài ra, bạn có thể quét các cổng mà không cần kiểm tra ping trước. Quá trình này sẽ mất nhiều thời gian hơn vì bạn sẽ phải quét các địa chỉ IP không tồn tại. Các hệ thống IDS ở cấp độ mạng và máy chủ thường làm tốt công việc thông báo cho quản trị viên về việc trinh sát mạng đang diễn ra, điều này cho phép họ chuẩn bị tốt hơn cho cuộc tấn công sắp tới và thông báo cho ISP ( ISP), trên mạng có cài đặt một hệ thống thể hiện sự tò mò quá mức.

2.8. Nguy cơ vi phạm lòng tin có thể giảm bớt bằng cách kiểm soát chặt chẽ hơn mức độ tin cậy trong mạng của bạn. Các hệ thống nằm bên ngoài tường lửa không bao giờ được tin cậy tuyệt đối từ các hệ thống được bảo vệ bởi tường lửa. Các mối quan hệ tin cậy nên được giới hạn ở các giao thức cụ thể và, nếu có thể, được xác thực bằng các tham số khác ngoài địa chỉ IP.

2.9. Cách chính để chống lại việc chuyển tiếp cổng là sử dụng các mô hình tin cậy mạnh mẽ ( xem điều 2.8 ). Ngoài ra, hệ thống máy chủ IDS có thể ngăn chặn hacker cài đặt phần mềm của mình trên máy chủ ( ẨN).

2.10. Các phương pháp chống truy cập trái phép khá đơn giản. Điều chính ở đây là giảm thiểu hoặc loại bỏ hoàn toàn khả năng hacker truy cập vào hệ thống bằng giao thức trái phép. Ví dụ: hãy xem xét việc ngăn chặn tin tặc truy cập vào cổng telnet trên máy chủ cung cấp dịch vụ Web cho người dùng bên ngoài. Nếu không có quyền truy cập vào cổng này, hacker sẽ không thể tấn công nó. Đối với tường lửa, nhiệm vụ chính của nó là ngăn chặn những nỗ lực truy cập trái phép đơn giản nhất.

2.11. Cuộc chiến chống lại vi-rút và ngựa Trojan được thực hiện bằng phần mềm chống vi-rút hiệu quả hoạt động ở cấp độ người dùng và cấp độ mạng. Các sản phẩm chống vi-rút phát hiện hầu hết vi-rút và ngựa Trojan và ngăn chặn sự lây lan của chúng.

3. Thuật toán hành động khi phát hiện tấn công mạng

3.1. Hầu hết các cuộc tấn công mạng đều bị chặn bởi các công cụ bảo mật thông tin được cài đặt tự động ( tường lửa, công cụ khởi động đáng tin cậy, bộ định tuyến mạng, công cụ chống vi-rút, v.v.).

3.2. Các cuộc tấn công yêu cầu sự can thiệp của nhân sự để ngăn chặn chúng hoặc giảm mức độ nghiêm trọng của hậu quả bao gồm các cuộc tấn công DoS.

3.2.1. Các cuộc tấn công DoS được phát hiện bằng cách phân tích lưu lượng mạng. Sự khởi đầu của cuộc tấn công được đặc trưng bởi “ sự đập búa» các kênh liên lạc sử dụng các gói tiêu tốn nhiều tài nguyên với địa chỉ giả. Một cuộc tấn công như vậy vào trang web ngân hàng trực tuyến sẽ làm phức tạp việc truy cập của người dùng hợp pháp và tài nguyên web có thể không thể truy cập được.

3.2.2. Nếu phát hiện một cuộc tấn công, quản trị viên hệ thống sẽ thực hiện các hành động sau:

chuyển thủ công bộ định tuyến sang kênh dự phòng và quay lại để xác định kênh ít tải hơn (kênh có băng thông rộng hơn);
xác định phạm vi địa chỉ IP mà cuộc tấn công được thực hiện;
gửi yêu cầu đến nhà cung cấp để chặn địa chỉ IP trong phạm vi được chỉ định.

3.3. Một cuộc tấn công DoS thường được sử dụng để ngụy trang một cuộc tấn công thành công vào tài nguyên máy khách nhằm gây khó khăn cho việc phát hiện. Do đó, khi phát hiện một cuộc tấn công DoS, cần phân tích các giao dịch mới nhất để xác định các giao dịch bất thường, chặn chúng (nếu có thể) và liên hệ với khách hàng thông qua một kênh thay thế để xác nhận giao dịch.

3.4. Nếu nhận được thông tin về các hành động trái phép từ khách hàng, tất cả bằng chứng sẵn có sẽ được ghi lại, một cuộc điều tra nội bộ sẽ được tiến hành và đơn đăng ký sẽ được nộp cho các cơ quan thực thi pháp luật.

Tải xuống tệp ZIP (24151)

Nếu tài liệu hữu ích, vui lòng “like” cho chúng:

Sau khi cài đặt Ubuntu làm hệ điều hành chính, bạn nên tìm hiểu cách bảo vệ khỏi tải trọng Rubber Ducky, việc cơ quan thực thi pháp luật thu giữ dữ liệu của bạn và nói chung là giảm số lượng mục tiêu bạn có thể tấn công. Khi bảo vệ khỏi các cuộc tấn công mạng, bạn cần giảm thiểu việc tiết lộ thông tin về phần cứng của mình, ngăn chặn các trình thám thính gói chạy, thắt chặt các quy tắc tường lửa, v.v.

Chúng tôi tiếp tục loạt bài nhỏ về tăng cường bảo vệ hệ điều hành Ubuntu. Trong phần này, bạn sẽ tìm hiểu cách giả mạo địa chỉ MAC để gây nhầm lẫn cho tin tặc thụ động, vô hiệu hóa các dịch vụ mạng không sử dụng như CUPS và Avahi, tạo quy tắc tường lửa cho các cổng cụ thể để chặn các nỗ lực truy cập trái phép và lấy dữ liệu của bạn, bảo vệ khỏi việc đánh cắp mật khẩu và cookie . trong các gói của bạn bằng VPN.

Nếu bạn bỏ lỡ bài viết trước, hãy nhớ xem qua, ngay cả khi bạn đã cài đặt Ubuntu và chỉ muốn tăng cường tính bảo mật của nó. Bạn sẽ tìm ra điều gì đã thúc đẩy chúng tôi viết loạt bài gồm bốn phần này.

Bước 1: Bảo vệ bạn khỏi bị phát hiện phần cứng của bạn

Khi kết nối với mạng Wi-Fi và bộ định tuyến mới, hãy giả mạo địa chỉ MAC của bộ điều hợp Wi-Fi của bạn. Tất nhiên, điều này sẽ không ngăn được một hacker có động cơ biết bạn đang sử dụng hệ điều hành nào, nhưng nó có thể khiến anh ta bối rối và ngăn anh ta thu thập thông tin về phần cứng của bạn.

Ví dụ: một hacker kết nối với mạng Wi-Fi của quán cà phê có thể tập trung nỗ lực vào việc hack các thiết bị khác ngoài Apple. Nếu bạn xuất hiện trên mạng với , kẻ tấn công sẽ hoàn toàn bỏ qua thiết bị của bạn. Hoặc nó có thể thử một số cuộc tấn công dành riêng cho MacOS trên thiết bị của bạn nhưng không hiệu quả vì bạn không thực sự sử dụng MacBook, bạn chỉ xuất hiện trực tuyến như thể bạn đang sử dụng phần cứng của Apple. Kết hợp với Tác nhân người dùng trình duyệt giả mạo, điều này thực sự có thể gây nhầm lẫn cho đối thủ không quá thông minh.

Để thay đổi địa chỉ MAC trong Ubuntu, hãy mở Trình quản lý mạng và chuyển tới menu "Chỉnh sửa" của kết nối Wi-Fi của bạn. Trên tab Danh tính, nhập địa chỉ MAC bạn muốn sử dụng vào trường Địa chỉ nhân bản.

Bước 2: Bảo vệ chống lại các cuộc tấn công vào dịch vụ nghe

Khi một tiến trình (hoặc dịch vụ) nền ở trạng thái “ ” (đang nghe), điều đó có nghĩa là các dịch vụ và ứng dụng khác trên thiết bị và mạng của bạn có thể tương tác với nó. Các dịch vụ “nghe” này luôn mong đợi một số dữ liệu đầu vào, khi nhận được dữ liệu đó, dịch vụ phải đưa ra phản hồi cụ thể. Bất kỳ dịch vụ nào có địa chỉ cục bộ 0.0.0.0, khi ở trạng thái lắng nghe, rất có thể sẽ có sẵn cho tất cả người dùng trên mạng cục bộ đó và có thể cả trên Internet.

Ubuntu mới được cài đặt sẽ chỉ có một vài dịch vụ đang chạy, do đó không cần phải lo lắng về việc nghe cổng đáng sợ theo mặc định. Nhưng hãy luôn ghi nhớ những ứng dụng mà bạn sẽ cài đặt trong tương lai. Họ có thể mở các cổng nghe mà không thông báo cho bạn.

Để theo dõi quá trình nền nào đang nghe, chúng tôi sẽ sử dụng netstat, một công cụ được sử dụng để hiển thị thông tin về kết nối mạng, cổng mở và các dịch vụ đang chạy. Vì chúng tôi sử dụng cài đặt Ubuntu tối thiểu nên bộ tiện ích công cụ mạng mà chúng tôi cần để làm việc với mạng (bao gồm cả netstat) sẽ phải được cài đặt thủ công. Điều này có thể được thực hiện bằng lệnh sudo apt-get install net-tools.

Sudo apt-get install net-tools Đọc danh sách gói... Xong Xây dựng cây phụ thuộc Đọc thông tin trạng thái... Xong Các gói MỚI sau sẽ được cài đặt: net-tools 0 đã nâng cấp, 1 mới cài đặt, 0 để xóa và 0 chưa được nâng cấp . Cần có 194 kB kho lưu trữ. Sau thao tác này, 803 kB dung lượng đĩa bổ sung sẽ được sử dụng. Chọn gói công cụ mạng chưa được chọn trước đó. (Đọc cơ sở dữ liệu ... 149085 tệp và thư mục hiện được cài đặt.) Đang chuẩn bị giải nén .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Đang giải nén các công cụ mạng (1.60+git20161116.90da8a0-1ubuntu1) ... Đang xử lý trình kích hoạt cho man-db (2.8.3-2) ... Thiết lập công cụ mạng (1.60+git20161116.90da8a0-1ubuntu1) ...

Sử dụng lệnh netstat sau để xem các dịch vụ ở trạng thái "LISTEN".

Sudo netstat -ntpul Kết nối Internet đang hoạt động (chỉ máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái PID/Tên chương trình tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0 .0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-duyệt udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/ avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r

Systemd-resolve được sử dụng để phân giải tên miền và tất nhiên là không nên thay đổi hoặc xóa. Chúng ta sẽ nói về “cupsd” và “avahi-daemon” bên dưới trong các phần sau.

Vô hiệu hóa hoặc xóa CUPS

Năm 2011, lỗ hổng DDoS được phát hiện trong avahi-daemon. Mặc dù CVE này khá cũ và có mức độ nghiêm trọng rất thấp nhưng nó vẫn cho thấy cách hacker trên mạng cục bộ phát hiện ra các lỗ hổng trong giao thức mạng và thao túng các dịch vụ đang chạy trên thiết bị của nạn nhân.

Nếu bạn không định tương tác với các sản phẩm hoặc dịch vụ của Apple trên các thiết bị khác, avahi-daemon có thể bị tắt bằng lệnh sau: sudo systemctl disa avahi-daemon.

Sudo systemctl vô hiệu hóa avahi-daemon Trạng thái đồng bộ hóa của avahi-daemon.service với tập lệnh dịch vụ SysV với /lib/systemd/systemd-sysv-install. Đang thực thi: /lib/systemd/systemd-sysv-install vô hiệu hóa avahi-daemon Đã xóa /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Đã xóa /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.

Avahi cũng có thể được loại bỏ hoàn toàn bằng cách sử dụng sudo apt-get purge avahi-daemon.

Sudo apt-get purge avahi-daemon Đọc danh sách gói... Xong Xây dựng cây phụ thuộc Đọc thông tin trạng thái... Xong Các gói sau sẽ bị XÓA: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1 ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 đã nâng cấp, 0 mới cài đặt, 3 cần xóa và 0 chưa được nâng cấp. Sau thao tác này, dung lượng đĩa 541 kB sẽ được giải phóng. Bạn có muốn tiếp tục?

y

Bước 3: Bảo vệ cổng của bạn

Một hacker nghiệp dư có thể cố gắng trích xuất dữ liệu thông qua hoặc tạo một shell đảo ngược (được liệt kê rõ ràng trên Wikipedia là cổng mặc định cho Metasploit). Tường lửa chỉ cho phép các gói gửi đi trên một số cổng sẽ chặn mọi gói gửi đến.

Để quản lý tính khả dụng của cổng, chúng tôi sẽ sử dụng một chương trình cung cấp giao diện đơn giản để định cấu hình tường lửa. UFW có nghĩa đen là Tường lửa không phức tạp. Nó hoạt động như một giao diện người dùng cho (bộ lọc gói) và không nhằm mục đích cung cấp chức năng tường lửa đầy đủ mà thay vào đó là một phương tiện thuận tiện để thêm hoặc xóa các quy tắc tường lửa.

1. Từ chối tất cả các kết nối đến và đi

Để bật UFW, hãy sử dụng lệnh sudo ufw Enable.

Sudo ufw kích hoạt Tường lửa đang hoạt động và được bật khi khởi động hệ thống

Vô hiệu hóa tất cả các kết nối đến bằng lệnh này:

Sudo ufw mặc định từ chối gửi đến

Sau đó vô hiệu hóa tất cả các chuyển hướng:

Sudo ufw mặc định từ chối chuyển tiếp

Và từ chối tất cả các kết nối đi:

Sudo ufw mặc định từ chối gửi đi

Từ giờ trở đi, bạn sẽ không còn quyền truy cập Internet bằng Firefox hoặc bất kỳ ứng dụng nào khác.

2. Tìm giao diện Wi-Fi của bạn

Để cho phép các kết nối đi, trước tiên bạn cần tìm tên của bộ điều hợp Wi-Fi bằng lệnh ifconfig -a. Ifconfig -a enp0s8: flags=4163 mtu 1500 inet 192.168.1.44 netmask 255.255.255.0 phát sóng 192.168.1.255 ether e8:e1:e8:c2:bc:b9 txqueuelen 1000 (Ethernet) Gói RX 631 byte 478024 (478.0 KB) Lỗi RX 0 bị rớt 0 khi chạy 0 0 Gói TX 594 byte 60517 (60,5 KB) Lỗi TX 0 bị rớt 0 lỗi tràn 0 sóng mang 0 xung đột 0 ngắt thiết bị 16 cơ sở 0xd040 lo: flags=73 mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6::1 tiền tốlen 128 phạm vi 0x10

Với mục đích của bài viết này, chúng tôi đang sử dụng Ubuntu trong VirtualBox, vì vậy tên giao diện của chúng tôi là "enp0s8". Lệnh ifconfig có thể hiển thị giao diện không dây của bạn dưới dạng "wlp3s0", "wlp42s0" hoặc đại loại như thế.

3. Tạo ngoại lệ tường lửa và định cấu hình độ phân giải DNS an toàn

Bạn có thể cho phép lưu lượng DNS, HTTP và HTTPS trên giao diện không dây bằng ba lệnh này.

Sudo ufw cho phép truy cập vào 1.1.1.1 cổng udp proto 53 nhận xét "cho phép bật DNS" sudo ufw cho phép truy cập vào bất kỳ cổng tcp proto nào 80 nhận xét "cho phép HTTP bật" sudo ufw cho phép bật bất kỳ cổng tcp 443 nào nhận xét "cho phép HTTPS trên "

Địa chỉ "1.1.1.1" trong lệnh DNS là trình phân giải DNS mới. Nhiều người dùng Internet không nhận ra rằng ngay cả khi họ duyệt một trang web bằng kết nối được mã hóa (ổ khóa nhỏ màu xanh lá cây trên thanh URL), ISP vẫn có thể thấy tên của mọi miền được truy cập bằng truy vấn DNS. Sử dụng trình phân giải DNS của CloudFlare sẽ giúp ngăn Nhà cung cấp dịch vụ Internet (ISP) cố gắng rình mò lưu lượng truy cập của bạn.

4. Cập nhật cấu hình DNS trong Network Manger

Sau khi đặt quy tắc UFW trong Trình quản lý mạng, hãy chuyển đến menu Chỉnh sửa kết nối Wi-Fi của bạn và thay đổi trường DNS thành 1.1.1.1. Ngắt kết nối và kết nối lại với mạng Wi-Fi của bạn để các thay đổi DNS có hiệu lực.

Xem các quy tắc mới được tạo bằng lệnh sudo ufw status numbered.

Trạng thái Sudo ufw được đánh số Trạng thái: đang hoạt động Để hành động từ -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép DNS trên enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép HTTPS trên enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép HTTP trên enp0s8

Ubuntu sẽ có thể thực hiện các yêu cầu HTTP/HTTPS tiêu chuẩn trên các cổng 80 và 443 trên giao diện không dây mà bạn chỉ định. Nếu các quy tắc này quá nghiêm ngặt đối với hoạt động hàng ngày của bạn, bạn có thể cho phép tất cả các gói gửi đi bằng lệnh này:

Sudo ufw mặc định cho phép gửi đi

5. Giám sát tường lửa của bạn

Nếu bạn đang cố gắng gỡ lỗi các kết nối đến hoặc đi, bạn có thể sử dụng lệnh tail với đối số -f để theo dõi các thông báo và sự khác biệt trong nhật ký UFW trong thời gian thực. Lệnh này sẽ trông như thế này đầy đủ:

Tail -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 hạt nhân: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 = 4 7091 DF PROTO=TCP SPT=35944 DPT=9999 CỬA SỔ=29200 RES=0x00 SYN URGP=0

Trong nhật ký trên, UFW đang chặn các kết nối gửi đi (OUT=) từ địa chỉ IP cục bộ của chúng tôi (192.168.1.44) đến máy chủ Null Byte (104.193.19.59) bằng TCP với cổng đích (DPT) 9999. Vấn đề này có thể được giải quyết bằng cách này lệnh UFW:

Sudo ufw cho phép thoát từ 192.168.1.44 đến 104.193.19.59 proto tcp port 9999

Để biết thêm thông tin về UFW, bạn có thể đọc các trang man (man ufw).

Chắc chắn độc giả quan tâm đến việc tinh chỉnh tường lửa sẽ rất tốt.

Bước 4: Bảo vệ chống lại việc đánh hơi gói và chặn cookie

Các cuộc tấn công thao túng gói có thể được ngăn chặn bằng cách sử dụng mạng riêng ảo (VPN). VPN cung cấp một bộ công nghệ:

Ngăn chặn tin tặc trên mạng Wi-Fi thao túng các gói và theo dõi hoạt động của bạn.
Cấm các nhà cung cấp Internet theo dõi hoạt động của bạn và bán dữ liệu của bạn cho bên thứ ba.
Chúng giúp vượt qua sự ngăn chặn của cơ quan kiểm duyệt (như RKN), khi các nhà cung cấp Internet hoặc tường lửa mạng chặn quyền truy cập vào một số trang web nhất định.

Hầu hết các dịch vụ VPN trả phí đều bắt đầu ở mức 5 USD mỗi tháng. Một số nhà cung cấp VPN đáng chú ý là: ProtonVPN, Mullvad, VyprVPN và .

Bước tiếp theo là tăng cường bảo vệ ứng dụng và tạo hộp cát

Thế là xong để thiết lập sự bảo vệ cho sự hiện diện và hoạt động trực tuyến của bạn. Trong bài viết tiếp theo, chúng tôi sẽ nói về các ứng dụng tạo hộp cát và giữ an toàn cho hệ thống của bạn trong trường hợp có bất kỳ phần mềm độc hại nào đang chạy trên thiết bị của bạn. Sau đó, chúng ta sẽ đi sâu vào kiểm tra phần mềm chống vi-rút và giám sát nhật ký hệ thống.

Từ chối trách nhiệm: Bài viết này được viết chỉ nhằm mục đích giáo dục. Tác giả hoặc nhà xuất bản không xuất bản bài viết này vì mục đích xấu. Nếu độc giả muốn sử dụng thông tin vì lợi ích cá nhân, tác giả và nhà xuất bản không chịu trách nhiệm về bất kỳ tổn hại hoặc thiệt hại nào gây ra.

Có rất nhiều loại cấu hình máy tính, hệ điều hành và thiết bị mạng khác nhau, tuy nhiên, điều này không trở thành trở ngại cho việc truy cập mạng toàn cầu. Tình huống này có thể thực hiện được nhờ giao thức mạng phổ quát TCP/IP, giao thức này thiết lập các tiêu chuẩn và quy tắc nhất định để truyền dữ liệu qua Internet. Thật không may, tính phổ quát này đã dẫn đến thực tế là các máy tính sử dụng giao thức này trở nên dễ bị ảnh hưởng từ bên ngoài và do giao thức TCP/IP được sử dụng trên tất cả các máy tính kết nối Internet nên kẻ tấn công không cần phát triển các phương tiện riêng lẻ để truy cập vào máy tính của người khác. máy móc.

Tấn công mạng là một nỗ lực nhằm tác động đến máy tính từ xa bằng các phương pháp phần mềm. Theo quy định, mục đích của một cuộc tấn công mạng là vi phạm tính bảo mật dữ liệu, tức là đánh cắp thông tin. Ngoài ra, các cuộc tấn công mạng được thực hiện để giành quyền truy cập vào máy tính của người khác và sau đó thay đổi các tệp nằm trên đó.

Có một số loại phân loại các cuộc tấn công mạng. Một trong số đó dựa trên nguyên tắc ảnh hưởng. Các cuộc tấn công mạng thụ động nhằm mục đích lấy thông tin bí mật từ một máy tính từ xa. Ví dụ, các cuộc tấn công như vậy bao gồm việc đọc các email đến và đi. Đối với các cuộc tấn công mạng đang hoạt động, nhiệm vụ của chúng không chỉ là truy cập vào một số thông tin nhất định mà còn là sửa đổi thông tin đó. Một trong những khác biệt đáng kể nhất giữa các kiểu tấn công này là sự can thiệp thụ động gần như không thể bị phát hiện, trong khi tác động của một cuộc tấn công chủ động thường dễ nhận thấy.

Ngoài ra, các cuộc tấn công được phân loại theo mục tiêu mà chúng phục vụ. Theo quy định, trong số các nhiệm vụ chính là làm gián đoạn hoạt động của máy tính, truy cập trái phép vào thông tin và ẩn sửa đổi dữ liệu được lưu trữ trên máy tính. Ví dụ: việc hack máy chủ của trường học để thay đổi điểm trong tạp chí được phân loại là các cuộc tấn công mạng đang hoạt động thuộc loại thứ ba.

Công nghệ bảo vệ

Các phương pháp bảo vệ chống lại các cuộc tấn công mạng liên tục được phát triển và cải tiến, nhưng không có phương pháp nào đảm bảo hoàn toàn. Thực tế là bất kỳ biện pháp phòng thủ tĩnh nào cũng có điểm yếu, vì không thể bảo vệ khỏi mọi thứ cùng một lúc. Đối với các phương pháp bảo vệ động, chẳng hạn như mạng thống kê, chuyên gia, logic mờ và mạng thần kinh, chúng cũng có điểm yếu vì chúng chủ yếu dựa trên việc phân tích các hành động đáng ngờ và so sánh chúng với các phương pháp tấn công mạng đã biết. Do đó, hầu hết các hệ thống phòng thủ đều nhượng bộ trước các kiểu tấn công không xác định, bắt đầu đẩy lùi sự xâm nhập quá muộn. Tuy nhiên, các hệ thống bảo mật hiện đại khiến kẻ tấn công khó truy cập dữ liệu đến mức việc tìm kiếm nạn nhân khác sẽ hợp lý hơn.