Коллектив авторов - Защита от хакеров корпоративных сетей
- Название:Защита от хакеров корпоративных сетей
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Коллектив авторов - Защита от хакеров корпоративных сетей краткое содержание
В книге рассматривается современный взгляд на хакерство, реинжиниринг и защиту информации. Авторы предлагают читателям список законов, которые определяют работу систем компьютерной безопасности, рассказывают, как можно применять эти законы в хакерских технологиях. Описываются типы атак и возможный ущерб, который они могут нанести компьютерным системам. В книге широко представлены различные методы хакинга, такие, как поиск различий, методы распознавания шифров, основы их вскрытия и схемы кодирования. Освещаются проблемы безопасности, возникающие в результате непредсказуемого ввода данных пользователем, методы использования машинно-ориентированного языка, возможности применения мониторинга сетевых коммуникаций, механизмы туннелирования для перехвата сетевого трафика. В книге представлены основные сведения о хакерстве аппаратных средств, вирусах, троянских конях и червях. В этой книге читатель узнает о методах, которые в случае неправильного их применения приведут к нарушению законодательства и связанным с этим последствиям.
Лучшая защита – это нападение. Другими словами, единственный способ остановить хакера заключается в том, чтобы думать, как он. Эти фразы олицетворяют подход, который, по мнению авторов, позволит наилучшим образом обеспечить безопасность информационной системы.
Перевод: Александр Петренко
Защита от хакеров корпоративных сетей - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Почти не подвергается сомнению необходимость некоторого тайм-аута для любого установленного соединения. Он позволяет предотвратить некоторые логические ошибки, в конечном счете вызванные расходом памяти. Кроме того, отсутствие тайм-аута может привести к успешной реализации уже рассмотренных атак. Большинство хостов не используют для всех соединений сообщений, подтверждающих их активность. Это ставит систему обнаружения вторжения в невыгодное положение, когда злоумышленник может позволить себе выжидать столько, сколько ему потребуется, возможно, провоцируя при этом систему обнаружения вторжения на более активную «сборку мусора» (путем установления большого числа новых соединений). В случае успеха у злоумышленника появится возможность скрытно осуществить любую атаку, никак себя не обнаруживая.
Использование программ fragrouter и congestant
Теоретических знаний недостаточно для оценки производительности средств обеспечения безопасности. Снова и снова видно, как многие производители не учитывают предупреждение исследовательского сообщества. В сентябре 1999 года фирма Dug Song выпустила программу fragrouter, для того чтобы проиллюстрировать присущие сетевым системам обнаружения вторжения уязвимости (www.monkey.org/~dugsong/fragrouter-1.6.tar.gz). Преимущество программы fragrouter заключается в том, что она позволяет без всяких изменений использовать те же самые инструментальные средства и программы использования уязвимостей, что и злоумышленники. Оправдывая свое название, программа fragrouter реализует функции одной из разновидности фрагментированного маршрутизатора. Программа реализует большинство атак, описанных в статье Птасека (Ptacek) и Невшама (Newsham).
Программа congestant является другим заслуживающим упоминания инструментальным средством, в котором реализовано ряд способов модификации пакетов, затрудняющих работу системы обнаружения вторжения. Ее автор называет себя «horizon». Впервые программа описана в его работе «Победа над сетевыми анализаторами сети и системами обнаружения вторжения» (Defeating Sniffers and Intrusion Detection Systems), которая была опубликована в декабре 1998 года (www.phrack.org/show.php?p=54&a=10). В отличие от предыдущей программы, программа congestant реализована в виде разделяемой библиотеки или патча к ядру операционной системы OpenBSD. Читатель может использовать программы fragrouter и congestant совместно, исследуя слабые стороны используемой им системы обнаружения вторжения.
Повышение сложности системы обнаружения вторжения, увеличение ее накладных расходов предоставляет дополнительные преимущества злоумышленнику. Эти системы становятся более подверженными к атакам типа отказ в обслуживании (DoS), поэтому маловероятно сохранение их работоспособности в критической ситуации. Вполне очевидно, что в системы обнаружения вторжения по мере их совершенствования всегда будут включать новые возможности и режимы работы, поскольку атакующий всегда будет выискивать в них узкие места (системы обнаружения вторжения могут использовать многие критические операции центрального процессора, требующие для своего выполнения значительных ресурсов).
Ниже представлены результаты работы программы fragrouter, запущенной командным процессором. Программа поддерживает стандарт plug-and-play. Читателю следует только убедиться, что его система машрутизирует трафик к адресату через хост с работающей программой fragrouter:
storm:~/dl/fragrouter-1.6# ./fragrouter -F5
fragrouter: frag-5: out of order 8-byte fragments, one duplicate
truncated-tcp 8 (frag 21150:8@0+)
10.10.42.9 > 10.10.42.3: (frag 21150:8@16+)
10.10.42.9 > 10.10.42.3: (frag 21150:8@8+)
10.10.42.9 > 10.10.42.3: (frag 21150:8@16+)
10.10.42.9 > 10.10.42.3: (frag 21150:4@24)
truncated-tcp 8 (frag 57499:8@0+)
10.10.42.9 > 10.10.42.3: (frag 57499:8@8+)
10.10.42.9 > 10.10.42.3: (frag 57499:8@8+)
10.10.42.9 > 10.10.42.3: (frag 57499:4@16)
truncated-tcp 8 (frag 57500:8@0+)
10.10.42.9 > 10.10.42.3: (frag 57500:8@8+)
10.10.42.9 > 10.10.42.3: (frag 57500:8@8+)
10.10.42.9 > 10.10.42.3: (frag 57500:4@16)
truncated-tcp 8 (frag 58289:8@0+)
10.10.42.9 > 10.10.42.3: (frag 58289:8@8+)
10.10.42.9 > 10.10.42.3: (frag 58289:8@8+)
10.10.42.9 > 10.10.42.3: (frag 58289:4@16)Ниже приведен вывод утилиты tcpdump, иллюстрирующий разницу между обычным сетевым трафиком и трафиком в сети при запуске программы fragrouter в режиме F5 «fragrouter: frag-5: беспорядочные восьмибайтовые фрагменты c одним дубликатом («fragrouter: frag-5: out of order 8-byte fragments, one duplicate»)». Обратите внимание на флаги DF (Don\'t Fragment – не фрагментировать) каждого пакета обычного соединения и наличие в потоке программы fragrouter нескольких фрагментированных пакетов.
Before (no fragrouter):
19:36:52.469751 10.10.42.9.32920 > 10.10.42.3.7: S
1180574360: 1180574360(0) win 24820
1460> (DF)
19:36:52.469815 10.10.42.9.32920 > 10.10.42.3.7: S
1180574360: 1180574360(0) win 24820
1460> (DF)
19:36:52.470822 10.10.42.9.32920 > 10.10.42.3.7: . ack
4206722337 win 24820 (DF)
19:36:52.470841 10.10.42.9.32920 > 10.10.42.3.7: . ack 1 win
24820 (DF)
19:36:53.165813 10.10.42.9.32920 > 10.10.42.3.7: F 0:0(0)
ack 1 win 24820 (DF)
19:36:53.165884 10.10.42.9.32920 > 10.10.42.3.7: F 0:0(0)
ack 1 win 24820 (DF)
19:36:53.171968 10.10.42.9.32920 > 10.10.42.3.7: . ack 2 win
24820 (DF)
19:36:53.171984 10.10.42.9.32920 > 10.10.42.3.7: . ack 2 win
24820 (DF)After (with fragrouter):
19:37:29.528452 10.10.42.9.32921 > 10.10.42.3.7: S
1189855959: 1189855959(0) win 24820
1460> (DF)
19:37:29.528527 10.10.42.9.32921 > 10.10.42.3.7: S
1189855959: 1189855959(0) win 24820
1460> (DF)
19:37:29.529167 10.10.42.9.32921 > 10.10.42.3.7: [|tcp]
(frag 21150:8@0+)
19:37:29.529532 10.10.42.9.32921 > 10.10.42.3.7: . ack
4211652507 win 24820 (DF)
19:37:29.529564 10.10.42.9.32921 > 10.10.42.3.7: . ack 1 win
24820 (DF)
19:37:29.530293 10.10.42.9.32921 > 10.10.42.3.7: [|tcp]
(frag 57499:8@0+)
19:37:30.309450 10.10.42.9.32921 > 10.10.42.3.7: F 0:0(0)
ack 1 win 24820 (DF)
19:37:30.309530 10.10.42.9.32921 > 10.10.42.3.7: F 0:0(0)
ack 1 win 24820 (DF)
19:37:30.310082 10.10.42.9.32921 > 10.10.42.3.7: [|tcp]
(frag 57500:8@0+)
19:37:30.316337 10.10.42.9.32921 > 10.10.42.3.7: . ack 2 win
24820 (DF)
19:37:30.316357 10.10.42.9.32921 > 10.10.42.3.7: . ack 2 win
24820 (DF)
19:37:30.316695 10.10.42.9.32921 > 10.10.42.3.7: [|tcp]
(frag 58289:8@0+)
Контрмеры
К счастью, идя навстречу пожеланиям реализовать сетевые системы обнаружения вторжения повсюду в сетевой инфраструктуре, появились технологии, которые помогут исключить большое число уязвимостей протокола более низкого уровня. Нормализация протокола, обсужденная Марком Хандлейом (Mark Handley) и Верном Пакссоном (Vern Paxson) в мае 2001 года в работе «Обнаружение вторжения в сеть: уклонение, нормализация трафика и семантики сквозного протокола» (Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics), www.aciri.org/vern/papers/norm-usenix-sec-01-html/index.html, является попыткой вычистить или перезаписать сетевой трафик по мере его получения адресуемой сетью. Описанный в работе процесс чистки должен устранить большое число трудностей восстановления последовательного представления сетевого трафика. Если бы и система обнаружения вторжения, и хост-адресат находились бы за программой чистки протокола, то они оба получали бы идентичное представление сетевого трафика.Инструментарий и ловушки
Наживка на приманку
Недавно был отмечен рост числа использования программ-приманок ( honeynets) в интересах защиты сетей. Программа-приманка является программной системой, которая размещается для того, чтобы привлечь внимание злоумышленника, который попытался бы ее скомпрометировать. Это чрезвычайно защищенные инструментальные средства, которые могут быть размещены и приведены в действие в любом месте внутри сети. В настоящее время принято считать, что наилучшим вариантом использования программ-приманок является размещение в сети двух систем, одна из которых является приманкой, а другая предназначена для регистрации трафика.
Интервал:
Закладка:
