Коллектив авторов - Защита от хакеров корпоративных сетей
- Название:Защита от хакеров корпоративных сетей
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Коллектив авторов - Защита от хакеров корпоративных сетей краткое содержание
В книге рассматривается современный взгляд на хакерство, реинжиниринг и защиту информации. Авторы предлагают читателям список законов, которые определяют работу систем компьютерной безопасности, рассказывают, как можно применять эти законы в хакерских технологиях. Описываются типы атак и возможный ущерб, который они могут нанести компьютерным системам. В книге широко представлены различные методы хакинга, такие, как поиск различий, методы распознавания шифров, основы их вскрытия и схемы кодирования. Освещаются проблемы безопасности, возникающие в результате непредсказуемого ввода данных пользователем, методы использования машинно-ориентированного языка, возможности применения мониторинга сетевых коммуникаций, механизмы туннелирования для перехвата сетевого трафика. В книге представлены основные сведения о хакерстве аппаратных средств, вирусах, троянских конях и червях. В этой книге читатель узнает о методах, которые в случае неправильного их применения приведут к нарушению законодательства и связанным с этим последствиям.
Лучшая защита – это нападение. Другими словами, единственный способ остановить хакера заключается в том, чтобы думать, как он. Эти фразы олицетворяют подход, который, по мнению авторов, позволит наилучшим образом обеспечить безопасность информационной системы.
Перевод: Александр Петренко
Защита от хакеров корпоративных сетей - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Приоткрывая завесу
Интерпретация спецификаций протоколов TCP/IP
Определенные трудности, свойственные интерпретации спецификаций протоколов TCP/IP, предоставляют разнообразные возможности идентификации. Для идентификации удаленной операционной системы может быть использовано все, что угодно, начиная от начального порядкового номера пакета TCP и заканчивая опциями обработки символов. Подобная уникальность реализации операционных систем (в базе данных утилиты nmap содержится описание более 300 характерных признаков операционных систем) является источником некоторых из наиболее критичных и сложных проблем разработки систем обнаружения вторжения. Попытка декодирования потока данных, направляемого в адрес какого-либо хоста, без глубокого знания особенностей внутренней работы его стека протокола является чрезвычайно сложным занятием.
Несколько лет назад была написана статья, посвященная обсуждению многих проблем развития сетевых систем обнаружения вторжения. Важно, что рассмотренные в 1998 году Томасом Птасеком (Thomas Ptacek) и Тимоти Невшамом (Timothy Newsham) в статье «Вставка, уклонение и отказ в обслуживании: ускользание от обнаружения вторжения в сеть» (Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection), http://secinf.net/info/ids/idspaper/idspaper.html, атаки принадлежат широкому диапазону: от вставки нужных злоумышленнику данных в передаваемый поток данных до уклонения от обнаружения. Вставка и уклонение составляют основу противодействия проверке на соответствие сигнатур.
Вставка – это способ, который создает ситуацию, когда система обнаружения вторжения примет некоторую информацию, предполагая, что точно такие же данные получит и атакуемый хост. Но если система обнаружения вторжения не интерпретирует сетевой поток точно таким же образом, как это делает атакуемый хост, то у нее сложится неверное представление о передаваемых данных и она не сможет предупредить об атаке. Просто сигнатура из базы данных сигнатур системы обнаружения вторжения будет не соответствовать получаемым из сетевого потока данным. Рассматривая пример со строкой символов «CODE-RED» в HTTP-запросе, возможен следующий случай. К системе обнаружения вторжения будут поступать данные со строкой «CODE-NOT-RED», что не является достаточным, чтобы чувствовать себя и защищаемую сеть в безопасности. А атакуемый хост-адресат на самом деле получит данные со строкой символов «CODE-RED» из-за того, что пакет со строкой символов «NOT» был забракован хостом из-за его несоответствия, по мнению хоста, стандартам.
Уклонение – это способ, в некотором смысле обратный способу вставки. Ему соответствует ситуация, когда атакуемый хост принимает данные, проигнорированные системой обнаружения вторжения. Так, например, в результате атаки система обнаружения вторжения может получить строку символов «CODE», в то время как атакованный хост получит строку «CODE-RED». Подобные атаки могут осуществляться различными способами. В любое время TCP/IP-связь может быть завершена любой из участвующих в ней сторон. Если система обнаружения вторжением неправильно проинтерпретировала посланные злоумышленником пакеты RST или FIN, которые не были восприняты атакованным хостом (например, если система обнаружения вторжением неправильно контролировала порядковые номера), то злоумышленник сможет безнаказанно продолжить сеанс связи.
Типичным случаем является отказ в обслуживании системы обнаружения вторжения. Возможности нарушения работы датчика вполне очевидны. Системные ресурсы конечны. Системе доступно столько страниц памяти, сколько всего может быть выделено, возможности центрального процессора ограничены, и даже сетевые платы не способны поддерживать необходимую производительность, если она превышает их технические возможности. Поскольку компьютер является системой очередей, то неизбежно наступит момент, когда некоторые из них переполнятся и данные будут удалены из очереди быстрее, чем их проанализируют. Присущие этому проблемы разнообразны. Они могут изменяться от микропроблем, когда приходится сталкиваться с истощением относительно немногих сетевых буферов ввода-вывода, до глобальных проблем, подобно низкой производительности работы дисковых ресурсов. Управление системными ресурсами является сложной задачей, которая еще больше усложняется в результате необходимости контролировать неизвестное количество потоков передачи сетевых данных и ограниченного представления о фактическом состоянии внутреннего стека TCP/IP каждого хоста.
Опции протокола IP
Результаты исследования заголовка протокола IP говорят о том, что в нем есть множество полей, которые явно указывают на их уязвимость при использовании, с некоторыми методическими изменениями, способов вставки или уклонения. К изменению значений полей заголовка пакета IP следует подходить с большой осторожностью. После произведенных изменений трафик должен остаться корректным, поскольку он может быть маршрутизирован через Интернет. Модификация размера пакета может привести к тому, что для системы обнаружения вторжения станет трудно понять, где на самом деле заканчиваются его данные (в этом состоит способ уклонения). Точно так же можно заняться экспериментами с контрольной суммой. Если есть возможность вставлять в поток передаваемых данных неверные пакеты, то система обнаружения вторжения может воспринять их как правильные (если только она не будет вручную вычислять контрольную сумму для каждого пакета), в то время как атакованная система – нет (в этом состоит способ вставки).
Атаки на время существования пересылаемого пакета
В типичной сетевой конфигурации систему обнаружения вторжения наиболее часто можно внести в периметр сети. В этом случае она хорошо вписывается в систему обеспечения безопасности сети. Это позволяет ей контролировать всю связь через Интернет. К сожалению, если у злоумышленника есть возможность выполнить трассировку маршрута (выполнить утилиту traceroute) или систематически уменьшать счетчик времени существования пересылаемого пакета и определить точное число необходимых для достижения адресуемого хоста «прыжков», то он сможет послать несколько пакетов с заведомо недостаточным значением счетчика TTL. В результате в сети появятся пакеты с небольшим значением счетчика TTL, которые никогда не смогут достигнуть атакуемой системы. Но при этом система обнаружения вторжения воспримет их как часть передающего в сети потока данных. Схематично эта ситуация представлена на рис. 16.1. К счастью, администраторы могут противодействовать этому нападению, размещая и настраивая системы обнаружения вторжения в том же самом сетевом сегменте, что и хосты, которые они желают контролировать.
Читать дальшеИнтервал:
Закладка:
