Коллектив авторов - Защита от хакеров корпоративных сетей

Тут можно читать онлайн Коллектив авторов - Защита от хакеров корпоративных сетей - бесплатно ознакомительный отрывок. Жанр: Прочая околокомпьтерная литература. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Защита от хакеров корпоративных сетей
Автор:

Коллектив авторов
Жанр:

Прочая околокомпьтерная литература
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.7/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Коллектив авторов - Защита от хакеров корпоративных сетей краткое содержание

Защита от хакеров корпоративных сетей - описание и краткое содержание, автор Коллектив авторов, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В книге рассматривается современный взгляд на хакерство, реинжиниринг и защиту информации. Авторы предлагают читателям список законов, которые определяют работу систем компьютерной безопасности, рассказывают, как можно применять эти законы в хакерских технологиях. Описываются типы атак и возможный ущерб, который они могут нанести компьютерным системам. В книге широко представлены различные методы хакинга, такие, как поиск различий, методы распознавания шифров, основы их вскрытия и схемы кодирования. Освещаются проблемы безопасности, возникающие в результате непредсказуемого ввода данных пользователем, методы использования машинно-ориентированного языка, возможности применения мониторинга сетевых коммуникаций, механизмы туннелирования для перехвата сетевого трафика. В книге представлены основные сведения о хакерстве аппаратных средств, вирусах, троянских конях и червях. В этой книге читатель узнает о методах, которые в случае неправильного их применения приведут к нарушению законодательства и связанным с этим последствиям.

Лучшая защита – это нападение. Другими словами, единственный способ остановить хакера заключается в том, чтобы думать, как он. Эти фразы олицетворяют подход, который, по мнению авторов, позволит наилучшим образом обеспечить безопасность информационной системы.

Перевод: Александр Петренко

Защита от хакеров корпоративных сетей - читать онлайн бесплатно ознакомительный отрывок

Защита от хакеров корпоративных сетей - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Коллектив авторов

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Регистрирующий хост должен быть сконфигурирован как мост (невидимый для любого удаленного атакующего) с достаточным дисковым пространством для записи всего сетевого трафика, для того чтобы его впоследствии можно было проанализировать. Система, расположенная за регистрирующим хостом, может быть сконфигурирована любым способом. Большинство из них являются приманками. Это означает, что размещенные за регистрирующим хостом системы предназначены стать мишенью для атак злоумышленников. Расчет основан на том, что злоумышленники увидят хост-приманку и начнут его атаковать. Было отмечены причины конфигурирования систем-приманок аналогично другим работающим системам в атакуемой сети (будем надеяться, что они достаточно надежны). В результате если атака будет обнаружена программой-приманкой (а она такова, что никто не сможет передать ей никаких данных, оставаясь при этом необнаруженным), то обороняющийся может удостовериться в существовании уязвимостей в конфигурации работающих систем. Учитывая дополнительные преимущества детальной регистрации трафика, некоторые работающие на низком уровне «прокурорские» программы (forensics) выявляют информацию об уязвимости сети наряду с ее любыми потайными лазейками, с помощью которых злоумышленник может вломиться в сеть и натворить в ней дел.

Имейте в виду, нет систем с защитой «от дурака». У атакующих есть возможность понять, что они находятся позади моста. В этом им поможет отсутствие трафика на уровне канала передачи данных и несоответствия в адресах протокола управления доступом к передающей среде (подуровень канального уровня, задающий методы доступа к среде, формат кадров, способ адресации), записанных в ARP кэше системы приманки.

Для более подробного ознакомления с системами-приманками читателю рекомендуется обратиться по адресу http://project.honeynet.org.

Уклонение на уровне приложений

У датчиков системы обнаружения вторжения есть возможность исследовать внутреннее устройство протокола связи приложений в интересах обнаружения вторжения. Разработчики систем обнаружения вторжения используют два основных способа. Во-первых, декодирование протокола приложений, когда система обнаружения вторжения предпринимает попытки разобрать поступающую к ней сетевую информацию для определения законности запросов сервисов. Во-вторых, простое сравнение характерных признаков сетевой активности с сигнатурами (сопоставление сигнатур). Каждый их этих двух подходов обладает свойственными им собственными достоинствами и недостатками. Можно увидеть, что большинство систем обнаружения вторжения по существу являются гибридом этих решений. На каждом уровне стека протокола есть возможность избежать вторжения.

Защита вдогонку

Деятельность разработчиков приложений определяется открывающимися перед ними перспективами и возможностью заработать. Всем известно, что в итоге успех или неудачу программного обеспечения определяет конечный пользователь. Прилагая все усилия для обеспечения наиболее удобной работы пользователя, максимальной совместимости программы и исключения ошибочных ситуаций, разработчики жертвуют строгим соответствием спецификациям протокола, отдавая предпочтение вопросам исправления ошибок. Нечасто можно встретить приложение, которое немедленно бы завершало запрос при первых признаках отклонения от определенного протокола. Напротив, предпринимаются все возможные и невозможные усилия для восстановления любых ошибок в попытке обслужить любой запрос (и таким образом увеличивается совместимость приложения и, вероятно, способность к взаимодействию). Исследователь вопросов безопасности, известный под псевдонимом Форест Паппи (Forest Puppy), или, что используется гораздо чаще, RFP, на конференции CanSecWest Security 2001 года (CanSecWest Security Conference 2001) утверждал: «Можно только удивляться тому, что передается через законный трафик по протоколу HTTP…» Подобная практика ведет к снижению безопасности приложений, поскольку она помогает атакующему, расширяя его злоумышленные возможности.

Уклонение от проверки характерных признаков сетевой деятельности на соответствие сигнатуре

Обновления, патчи и изменения в реализации приложений могут изменять характерные признаки их работы в сети. Сигнатуры слишком индивидуальны, характеризуют общие признаки и, очевидно, слишком быстро устаревают. Поэтому именно они, как это ни парадоксально, препятствуют обнаружению атак системой обнаружения вторжения.

Если еще раз посмотреть на описание сигнатур в системе обнаружения вторжения snort, то ясно можно увидеть полное имя пути файла команды chgrp,заданное в некоторых из правил. Предполагается, что подобные правила задают сигнатуру, которая предупредит о прохождении через Web-сервер выполняемых команд. Любой из злоумышленников, который сведущ в правилах написания этих правил, с помощью различных трюков может легко модифицировать свои атаки в надежде уклониться от соответствия характерных признаков своей атаки сигнатуре из базы данных сигнатур системы обнаружения вторжения.

Внутри правила задаются путь и имя команды chgrp.Явно видно, что если бы файл команды был размещен не в директории /usr/bin, а в другой, то с помощью этой сигнатуры попытка определить атаку потерпела бы неудачу. Кроме того, если бы атакующий был уверен в правильной установке переменной среды, задающей путь к команде chgrp,то он смог бы выполнить команду без указания ее полного пути. Тем самым ему бы удалось избежать обнаружения своей атаки системой обнаружения вторжения, выполняющей проверку на соответствие сигнатур. Как следует настроить систему обнаружения вторжения, чтобы она смогла предупредить обо всех только что рассмотренных видоизменениях атак злоумышленником? Сколько сигнатур должна учитывать система обнаружения вторжения, если принять во внимание эти и подобные им многочисленные изменения программ?

Дополнительное кодирование данных

Пересылаемый между Web-сервером и клиентом стандартный текст может быть закодирован таким образом, чтобы он интерпретировался как текст в кодировке Unicode, которая в значительной степени предназначена для кодирования символов, позволяющих представлять алфавиты всех существующих в мире языков. Значением строки «Yung» в кодировке Unicode является величина U+6C38. Кодировка Unicode является еще одной головной болью для разработчиков систем обнаружения вторжения, поскольку представляемые в ней величины могут быть исследованы и преобразованы в ASCII-код при помощи стандартных процедур. Эти проблемы не относятся к разряду непреодолимых. В большинстве систем реализовано то, что известно как нормализация протокола. Нормализация протокола основана на анализе входной строки и систематизации всех известных кодировок, представлений свободного места в тексте (пробелов, символов табуляции, пустых строк и т. д.) с целью построения наиболее общей стандартной формы входных данных.