Комуникационна среда

Сигурност на мрежата

Атакувани мрежови компоненти

Сървъри.

Основните компоненти на всяка информационна мрежа са сървърите и работните станции. Сървърите предоставят информационни или изчислителни ресурси; работните станции имат персонал. По принцип всеки компютър в мрежата може да бъде едновременно сървър и работна станция - в този случай описания на атаки, посветени както на сървъри, така и на работни станции, са приложими към него.

Основните задачи на сървърите са съхранение и предоставяне на достъп до информация и определени видове услуги. Следователно всички възможни цели на нарушителите могат да бъдат класифицирани като

  • достъп до информация,
  • получаване на неоторизиран достъп до услуги,
  • опит за деактивиране на определен клас услуги,
  • опит за промяна на информация или услуги като спомагателна стъпка в някаква по-голяма атака.

Опитите за получаване на достъп до информация, разположена на сървъра, по принцип не се различават от подобни опити за работни станции и ще ги разгледаме по-късно. Проблемът с получаването на неоторизиран достъп до услуги приема изключително разнообразни форми и се основава главно на грешки или недокументирани възможности на самия софтуер, който предоставя такива услуги.

Но проблемът с деактивирането (нарушаването на нормалното функциониране) на услугите е доста актуален в съвременния компютърен свят. Клас от такива атаки се нарича атака "отказ на услуга". Атака "отказ на услуга" може да бъде приложена на цял набор от нива на моделаOSI: физическо, канал, мрежа, сесия. Подробни схемище разгледаме реализациите на тази атака в раздела, посветен на моделаOSI.

Промяната на информация или услуги като част от по-голяма атака също е много важен проблем при защитата на сървърите. Ако сървърът съхранява потребителски пароли или всякакви данни, които могат да позволят на атакуващ да влезе в системата, като ги промени (например сертификати за ключове), тогава естествено атаката срещу самата система ще започне с атака срещу подобен сървър. Най-често модифицираните сервизни сървъри саDNSсървърите.

Работни станции.

Основната цел на атака на работна станция е, разбира се, да се получат данни, които се обработват или съхраняват локално на нея. Троянските програми все още са основно средство за подобни атаки. Тези програми не се различават по своята структура от компютърните вируси, но когато влязат в компютъра, те се опитват да се държат възможно най-незабележимо. В същото време те позволяват на всяка трета страна, която знае протокола за работа с тази троянска програма, да извършва всякакви действия от разстояние от компютъра. Тоест, основната цел на такива програми е да унищожат системата за мрежова защита на станцията отвътре - да пробият огромна дупка в нея.

За борба с троянските коне се използват както конвенционален антивирусен софтуер, така и няколко специфични метода, фокусирани изключително върху тях. По отношение на първия метод, както и при компютърните вируси, трябва да се помни, че антивирусният софтуер открива огромен брой вируси, но само тези, които са широко разпространени в цялата страна и имат множество прецеденти на заразяване. В тези случаи, когато вирус или троян е написан с цел получаване на достъп до вашия компютър или корпоративна мрежа, тогава на практика90% шанс няма да бъде открит от стандартния антивирусен софтуер.

Тези троянски коне, които постоянно осигуряват достъп до заразения компютър и следователно поддържат отворен порт на някакъв транспортен протокол на него, могат да бъдат открити с помощта на помощни програми за управление на мрежови портове. Например за операционни системи за клонинг наMicrosoft Windowsтази помощна програма еNetStat. Стартирането му с ключ "netstat -a" ще покаже всички активни компютърни портове. В този случай операторът е длъжен да знае портовете на стандартните услуги, които са постоянно отворени на компютъра, и тогава всеки нов запис на монитора трябва да привлече вниманието му. Към днешна дата вече има няколко софтуерни продукта, които извършват такъв контрол автоматично.

По отношение на троянските коне, които не държат транспортните портове постоянно отворени, а просто методично изпращат някаква информация до сървъра на атакуващия (например файлове с пароли или пълно копие на текста, въведен от клавиатурата), е възможно само наблюдение на мрежата. Това е доста сложна задача, която изисква или участието на квалифициран служител, или тромава система за вземане на решения.

Следователно най-лесният начин за надеждна защита както от компютърни вируси, така и от троянски коне е да инсталирате на всяка работна станция програми за контрол на промените в системните файлове и областите за обслужване на данни (регистър, зони за стартиране на диска и т.н.) - така нареченитесъветници(англ.adviser- уведомител).

Комуникационна среда.

Естествено, основният тип атака срещу средата за предаване на информация е нейното прослушване. По отношение на възможността за слушане всички комуникационни линии се разделят на:

  • излъчване с неограничен достъп
  • излъчването е ограничено
  • канали от точка до точка

По отношение на слушането на мрежов трафик от устройства, свързани отвън, има следният списък с кабелни връзки в реда на нарастващата сложност на слушането им:

  • неусукана двойка- сигналът се чува на разстояние няколко сантиметра без директен контакт,
  • усукана двойка- сигналът е малко по-слаб, но е възможно и слушане без директен контакт,
  • коаксиален проводник– централната жила е надеждно екранирана с оплетка: необходим е специален контакт, който избутва или отрязва част от оплетката и прониква до централната жила,
  • оптично влакно- за да слушате информация, трябва да се вклините в кабела и скъпо оборудване, процесът на свързване към кабела е придружен от прекъсване на комуникацията и може да бъде открит, ако някакъв блок от контролни данни се предава постоянно по кабела.

Деактивирането на системите за предаване на информация (атака „отказ от услуга“) на ниво среда за предаване на информация е възможно, но обикновено това вече се разглежда като външно механично или електронно (а не софтуерно) въздействие. Възможно физическо разрушаване на кабели, производство на шум в кабела и в инфрачервените и радио пътища.

Мрежови комутационни възли.

Мрежовите комутационни възли се представят на нападателите като:

1) инструмент за маршрутизиране на мрежов трафик;

2) необходим компонент на здравето на мрежата.

По отношение на първата цел, получаването на достъп до таблицата за маршрутизиране ви позволява да промените пътя на потока на евентуално поверителна информация към страната, която представлява интерес за нападателя. Следващите му стъпки можеда бъде подобна на атака срещуDNSсървъра. Това може да се постигне или чрез директно администриране, ако атакуващият по някакъв начин е получил администраторски права (най-често той е разбрал паролата на администратора или е използвал паролата по подразбиране, която не е била променена). В това отношение възможността за дистанционно управление на превключващи устройства не винаги е благословия: получаването на физически достъп до устройство, управлявано само чрез физически порт, е много по-трудно.

Или е възможен втори път на атака за промяна на таблицата за маршрутизиране - той се основава на динамично маршрутизиране на пакети, активирано на много комутационни възли. В този режим устройството определя най-изгодния начин за изпращане на конкретен пакет, въз основа на историята на пристигането на определени служебни пакети от мрежата - съобщения за маршрутизиране (протоколиARP,RIPи други). В този случай, ако няколко такива сервизни пакета са фалшифицирани според определени закони, е възможно да се постигне, че устройството започва да изпраща пакети по пътя, от който атакуващият се интересува, мислейки, че това е най-бързият път до дестинацията.