Коллектив авторов - Защита от хакеров корпоративных сетей

Тут можно читать онлайн Коллектив авторов - Защита от хакеров корпоративных сетей - бесплатно ознакомительный отрывок. Жанр: Прочая околокомпьтерная литература. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Защита от хакеров корпоративных сетей
Автор:

Коллектив авторов
Жанр:

Прочая околокомпьтерная литература
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.7/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Коллектив авторов - Защита от хакеров корпоративных сетей краткое содержание

Защита от хакеров корпоративных сетей - описание и краткое содержание, автор Коллектив авторов, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В книге рассматривается современный взгляд на хакерство, реинжиниринг и защиту информации. Авторы предлагают читателям список законов, которые определяют работу систем компьютерной безопасности, рассказывают, как можно применять эти законы в хакерских технологиях. Описываются типы атак и возможный ущерб, который они могут нанести компьютерным системам. В книге широко представлены различные методы хакинга, такие, как поиск различий, методы распознавания шифров, основы их вскрытия и схемы кодирования. Освещаются проблемы безопасности, возникающие в результате непредсказуемого ввода данных пользователем, методы использования машинно-ориентированного языка, возможности применения мониторинга сетевых коммуникаций, механизмы туннелирования для перехвата сетевого трафика. В книге представлены основные сведения о хакерстве аппаратных средств, вирусах, троянских конях и червях. В этой книге читатель узнает о методах, которые в случае неправильного их применения приведут к нарушению законодательства и связанным с этим последствиям.

Лучшая защита – это нападение. Другими словами, единственный способ остановить хакера заключается в том, чтобы думать, как он. Эти фразы олицетворяют подход, который, по мнению авторов, позволит наилучшим образом обеспечить безопасность информационной системы.

Перевод: Александр Петренко

Защита от хакеров корпоративных сетей - читать онлайн бесплатно ознакомительный отрывок

Защита от хакеров корпоративных сетей - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Коллектив авторов

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Ложные срабатывания и упущения

Для того чтобы стать эффективной, система обнаружения вторжения должна своевременно усваивать доступную ей информацию и сообщать о ней. Ложные срабатывания (false positive) – это реакция на событие, которое на самом деле не произошло и которое может быть столь же безопасным, как и загрузка базы данных сигнатур по каналу связи или своеобразный сетевой трафик при запуске сетевой игры. Загрузка базы данных сигнатур системы обнаружения вторжения может стать источником любого из описанных сигналов тревоги. Это хотя и раздражает, но обычно не имеет больших последствий. Подобное легко может произойти и обычно является результатом неверной настройки конфигурации сетевой системы обнаружения вторжений (NIDS) в начале ее эксплуатации или при ее обкатке. Большую опасность представляют так называемые упущения (false negatives). Упущения – это отказ в работе системы обнаружения вторжения, заключающийся в пропуске атаки. Упущение может произойти в результате отказа отдельных функциональных модулей системы. Упущение как ошибочный пропуск атаки является результатом модификации злоумышленником ее кода, для того чтобы перехитрить средства обнаружения атаки системой обнаружения вторжения. Упущение существенно влияет на эффективность работы системы обнаружения вторжения. Если читатель постоянно контролирует работу системы обнаружения вторжения, то вскоре он привыкнет к ее типичному поведению. В случае недопустимого большого числа случаев ложного срабатывания системы можно уменьшить число анализируемых признаков, совокупность которых приводит к ложному срабатыванию и охоте за диким гусем, и признать факт существования многочисленных повседневных событий. В конечном итоге управлять всеми возможностями системы обнаружения вторжения можно, приняв единственное основополагающее решение: принимать или не принимать меры по выявленной ситуации.

Оповещение о лавинообразном процессе

Эта проблема имеет смысл из-за выдачи системами обнаружения вторжения настолько частых повторных отчетов, что это напоминает сценарий лавинообразного процесса. Шквал отчетов является процессом придания системе обнаружения вторжения новых свойств, вызванных ее перегрузкой и потопом предупреждений. Для злоумышленника подобная атака сулит ряд преимуществ. Если огневая мощь злоумышленника достаточна для превышения пропускной способности сети, то вполне возможна атака типа «отказ в обслуживании» (DoS).

Для большинства датчиков систем обнаружения вторжения критичным является условие, получившее название парадокса первого (или многократного) соответствия. Согласно ему датчик должен принять важное решение: подавать сигнал тревоги при первом же найденном соответствии характерных признаков атаки сигнатуре из базы данных сигнатур или предпринять попытку поиска дальнейших соответствий. Проблема заключается в том, что сначала злоумышленник может определить низкоприоритетную или благоприятную для него сигнатуру, записанную во многие базы данных сигнатур системы обнаружения вторжения, а затем попытаться воспроизвести ее в ходе более разрушительной атаки. В результате при настройке датчика на выдачу сигнала тревоги при первом же найденном соответствии характерных признаков атаки сигнатуре из базы данных может получиться так, что будет обнаружена менее опасная атака и пропущено действительно опасное вторжение. С другой стороны, система обнаружения вторжения при поиске многократных соответствий становится уязвимой к выдаче шкалы предупреждений об атаках. Кроме того, атакующий может сформировать такой трафик в сети, который будет содержать весь спектр сигнатур, содержащихся в базе данных сигнатур системы обнаружения вторжения, который приведет к разрушению ее датчика.

Кроме желательного для злоумышленника отказа датчика системы обнаружения вторжения, он может получить дополнительную выгоду в результате генерации чрезмерного количества предупреждений (сгенерировать более 10 000 предупреждений для него особого труда не составит), которые администратор должен будет как-то осмыслить. Выбранный для атаки компьютер может полностью потеряться среди выводимых на монитор сообщений, гудков и красных флажков, которые могут поставить в тупик кого угодно. Администратор может просто запутаться, воспринимая огромное количество различных звуковых и графических сообщений об атаках. В лучшем случае попытка идентификации реального вторжения в таких условиях будет сильно затруднена. Также не стоит забывать о психологическом воздействии на оператора, которое часто воспринимается им как тотальная атака всего Интернета на оборудование защищаемой сети. Насколько эффективной окажется система обнаружения вторжением, если подобные атаки станут обычным делом?

Уклонение на уровне пакетов

На сетевые системы обнаружения вторжения возложена малопонятная задача выявления смысла из буквально миллионов ежесекундно поступающих кусочков информации при обеспечении приемлемого времени реакции (обычно желательно обеспечить время реакции настолько близко к реальному масштабу времени, насколько это возможно). Для устранения возможных ошибок анализа данных сетевая система обнаружения вторжения работает на различных уровнях стека сетевых протоколов. При его исследовании в первую очередь следует обратить внимание на сетевой и транспортный уровни, где у злоумышленника большие возможности запутать, уклониться или вывести из строя датчик системы обнаружения вторжения. Если перед злоумышленником стоит задача найти способ уклонения от обнаружения, то идеальной точкой начала исследования являются именно эти два уровня, поскольку все прочие возможности идентификации атаки системой обнаружения вторжения, впрочем, как и атакуемого хоста, зависят от возможности правильной интерпретации сетевого трафика на этих двух уровнях.

К сожалению, в силу технических особенностей протоколов IP и TCP, у лиц, ответственных за защиту данных, нет возможности четко контролировать их работу. Работу этих протоколов в динамической среде описывают стандарты, в которых оговорены два утверждения: «НЕ ПЛОХО БЫ» и «МОЖНО». Утверждение «ДОЛЖЕН» зарезервировано только для наиболее важных запросов. Подобное определение стандарта протоколов ведет ко многим осложнениям при попытке интерпретировать сетевые средства связи. Таким образом, у злоумышленника сохраняется возможность десинхронизации состояний системы обнаружения вторжения. Из-за этого она не сможет правильно скомпоновать сетевой трафик в единое целое тем же способом, что и атакуемый хост. Например, если сигнатура системы обнаружения вторжения задает поиск строки символов «CODE-RED» в любом HTTP-запросе, то атакующий может фрагментировать трафик таким образом, чтобы пакеты приходили к системе обнаружения вторжения в ином, чем для хоста получателя пакетов, порядке. Таким образом, злоумышленник может добраться до интересующего его хоста, в то время как система обнаружения вторжения не сможет правильно проинтерпретировать происходящие события.