התקפות הרשת מגוונות כמו המערכות שהן מכוונות אליהן. יש התקפות קשות מאוד. אחרים יכולים להתבצע על ידי מפעיל רגיל שאפילו אינו מעלה על דעתו אילו השלכות עשויות להיות לפעילותו. כדי להעריך את סוגי ההתקפות, עליך להכיר כמה מהמגבלות המובנות של פרוטוקול TPC/IP. האינטרנט נוצר לתקשורת בין סוכנויות ממשלתיות ואוניברסיטאות כדי לסייע לתהליך החינוכי ולמחקר מדעי. ליוצרי הרשת הזו לא היה מושג באיזו רחבה היא תתפשט. כתוצאה מכך, המפרט גרסאות קודמותפרוטוקול האינטרנט (IP) חסר דרישות אבטחה. זו הסיבה שיישומי IP רבים הם פגיעים מטבעם. לאחר שנים רבות, לאחר שקיבלנו תלונות רבות (RFC - Request for Comments), התחלנו סוף סוף ליישם אמצעי אבטחה עבור IP. עם זאת, בשל העובדה שאמצעי אבטחה עבור פרוטוקול ה-IP לא פותחו בתחילה, החלו להשלים את כל יישומיו במגוון נהלי רשת, שירותים ומוצרים המפחיתים את הסיכונים הגלומים בפרוטוקול זה. לאחר מכן, נדון בקצרה בסוגי ההתקפות בהן נעשה שימוש נפוץ נגד רשתות IP ונפרט דרכים להילחם בהן.

מרחרח מנות

מנהרת מנות היא תוכנת יישום המשתמשת כרטיס רשתפועל במצב מופקר (במצב זה, כל החבילות המתקבלות בערוצים פיזיים הן מתאם רשתנשלח לבקשה לטיפול). במקרה זה, המרחרח מיירט הכל מנות רשת, המועברים דרך תחום ספציפי. נכון להיום, מרחרחים פועלים ברשתות על בסיס חוקי לחלוטין. הם משמשים לאבחון תקלות וניתוח תנועה. עם זאת, בשל העובדה כי חלק יישומי רשתלהעביר נתונים ל פורמט טקסט(telnet, FTP, SMTP, POP3 וכו'), באמצעות סניפר ניתן לגלות מידע שימושי ולעיתים סודי (לדוגמה, שמות משתמש וסיסמאות).

כניסה ויירוט סיסמה מהווים איום גדול מכיוון שמשתמשים משתמשים לעתים קרובות באותה כניסה וסיסמה עבור יישומים ומערכות מרובות. למשתמשים רבים יש בדרך כלל סיסמה אחת לגישה לכל המשאבים והיישומים. אם היישום פועל במצב לקוח/שרת ונתוני האימות מועברים ברשת בפורמט טקסט קריא, סביר להניח שניתן להשתמש במידע זה כדי לגשת למשאבים ארגוניים או חיצוניים אחרים. האקרים מכירים טוב מדי ומנצלים את החולשות האנושיות שלנו (שיטות ההתקפה מבוססות לרוב על שיטות הנדסה חברתית). הם יודעים היטב שאנו משתמשים באותה סיסמה כדי לגשת למשאבים רבים, ולכן הם מצליחים לעתים קרובות לקבל גישה אליהם מידע חשוב. בתרחיש הגרוע ביותר, האקר מקבל גישה ברמת המערכת למשאב משתמש ומשתמש בו כדי ליצור משתמש חדש שניתן להשתמש בו בכל עת כדי לגשת לרשת ולמשאביה.

אתה יכול להפחית את האיום של רחפת מנות על ידי שימוש בכלים הבאים:

· אימות - אימות חזק הוא ההגנה הראשונה מפני רחרוח מנות. ב"חזקה" אנו מתכוונים לשיטת אימות שקשה לעקוף אותה. דוגמה לאימות כזו היא סיסמאות חד פעמיות (OTP - One-Time Passwords). OTP היא טכנולוגיית אימות דו-גורמי המשלבת את מה שיש לך עם מה שאתה יודע. דוגמה טיפוסית לאימות דו-גורמי היא פעולת כספומט רגיל, המזהה אותך, ראשית, לפי כרטיס הפלסטיק שלך, ושנית, לפי קוד ה-PIN שאתה מזין. אימות במערכת ה-OTP דורש גם קוד PIN וכרטיס אישי שלך. "כרטיס" (אסימון) מובן ככלי חומרה או תוכנה שמייצר (על פי עקרון אקראי) סיסמה חד פעמית וחד פעמית ייחודית. אם האקר יגלה את הסיסמה הזו באמצעות סניפר, המידע הזה יהיה חסר תועלת מכיוון שבשלב זה הסיסמה כבר הייתה בשימוש והיא תצא משימוש. שימו לב ששיטה זו של מאבק בהרחה יעילה רק נגד יירוט סיסמה. רחרחנים שיירטו מידע אחר (לדוגמה, הודעות אימייל), לא לאבד את היעילות שלהם.

· תשתית מיתוג - דרך נוספת להילחם בסניף מנות בסביבת הרשת שלך היא יצירת תשתית מיתוג. אם, למשל, הארגון כולו משתמש ב-Ethernet בחיוג, האקרים יכולים לגשת רק לתעבורה הנכנסת ליציאה אליה הם מחוברים. התשתית המתחלפת אינה מבטלת את איום ההרחה, אך היא מפחיתה משמעותית את חומרתה.

· Anti-sniffers – הדרך השלישית להילחם בהרחה היא התקנת חומרה או תוכנה המזהה את הסניפרים הפועלים ברשת שלכם. כלים אלה אינם יכולים לחסל לחלוטין את האיום, אך כמו כלי אבטחת רשת רבים אחרים, הם כלולים ב מערכת משותפתהֲגָנָה. מה שנקרא "אנטי-סניפרים" מודדים את זמני התגובה של המארח וקובעים אם המארחים צריכים לעבד תעבורה "נוספת". מוצר אחד כזה, המסופק על ידי LOpht Heavy Industries, נקרא AntiSniff(. עוד מידע מפורטזמין בכתובת http://www.l0pht.com/antisniff/

· קריפטוגרפיה - רוב שיטה יעילהאנטי-packet sniffing אינו מונע יירוט ואינו מזהה את עבודת המרחרחים, אך הופך את העבודה הזו לחסרת תועלת. אם ערוץ התקשורת מאובטח מבחינה קריפטוגרפית, זה אומר שההאקר לא מיירט את ההודעה, אלא את הטקסט הצפנה (כלומר, רצף לא מובן של ביטים). קריפטוגרפיה של שכבת רשת של סיסקו מבוססת על פרוטוקול IPSec. IPSec היא שיטה סטנדרטית לתקשורת מאובטחת בין מכשירים באמצעות פרוטוקול IP. לפרוטוקולים קריפטוגרפיים אחרים ניהול רשתהפרוטוקולים כוללים SSH (Secure Shell) ו-SSL (Secure Socket Layer).

זיוף IP

זיוף IP מתרחש כאשר האקר, בתוך או מחוץ לתאגיד, מתחזה למשתמש מורשה. ניתן לעשות זאת בשתי דרכים. ראשית, האקר יכול להשתמש בכתובת IP שנמצאת בטווח של כתובות IP מורשות, או כתובת חיצונית מורשית המותרת גישה לכמה משאבי רשת. התקפות זיוף IP הן לרוב נקודת המוצא להתקפות אחרות. דוגמה קלאסית היא מתקפת DoS, שמתחילה מכתובת של מישהו אחר, מסתירה את זהותו האמיתית של ההאקר. בדרך כלל, זיוף IP מוגבל להכנסת מידע שקרי או פקודות זדוניות לזרימה הרגילה של נתונים המועברים בין יישום לקוח לשרת או דרך ערוץ תקשורת בין התקני עמית. עבור תקשורת דו-כיוונית, על ההאקר לשנות את כל טבלאות הניתוב כדי להפנות תעבורה לכתובת ה-IP השגויה. חלק מההאקרים, לעומת זאת, אפילו לא מנסים לקבל תגובה מהיישומים. אם המשימה העיקרית היא להשיג מהמערכת קובץ חשוב, תגובות האפליקציה אינן חשובות.

אם האקר יצליח לשנות את טבלאות הניתוב ולהפנות תנועה לכתובת IP שגויה, ההאקר יקבל את כל החבילות ויוכל להגיב להן כאילו היה משתמש מורשה.

ניתן להפחית (אך לא לבטל) את האיום של זיוף על ידי האמצעים הבאים:

· בקרת גישה - הדרך הקלה ביותר למנוע זיוף IP היא לבצע הגדרה נכונהבקרת גישה. כדי להפחית את האפקטיביות של זיוף IP, הגדר את בקרת הגישה כדי לדחות כל תעבורה שמגיעה מרשת חיצונית עם כתובת מקור שאמורה להיות ממוקמת בתוך הרשת שלך. שים לב שזה עוזר להילחם בזיוף IP, שבו רק כתובות פנימיות מורשות. אם גם כמה כתובות רשת חיצוניות מורשות, השיטה הזאתהופך ללא יעיל.

· סינון RFC 2827 - אתה יכול למנוע ממשתמשים ברשת שלך לזייף רשתות של אנשים אחרים (ולהפוך ל"אזרח מקוון") טוב. כדי לעשות זאת, יש צורך לדחות כל תנועה יוצאת, שכתובת המקור שלו אינה אחת מכתובות ה-IP של הארגון שלך. סוג זה של סינון, המכונה "RFC 2827", יכול להתבצע גם על ידי ספק שירותי האינטרנט שלך (ISP). כתוצאה מכך, כל התעבורה שאין לה כתובת מקור הצפויה בממשק מסוים נדחית. לדוגמה, אם ספק שירותי אינטרנט מספק חיבור לכתובת ה-IP 15.1.1.0/24, הוא יכול להגדיר מסנן כך שרק תעבורה שמקורה ב-15.1.1.0/24 מותרת מהממשק הזה לנתב של ספק האינטרנט. שימו לב שעד שכל הספקים יישמו סוג זה של סינון, האפקטיביות שלו תהיה נמוכה בהרבה מהאפשרי. בנוסף, ככל שאתה רחוק יותר מהמכשירים המסוננים, כך קשה יותר לבצע סינון מדויק. לדוגמה, סינון RFC 2827 ברמת נתב הגישה מחייב העברת כל התעבורה מכתובת הרשת הראשית (10.0.0.0/8), בעוד שברמת ההפצה (בארכיטקטורה זו) ניתן להגביל את התעבורה בצורה מדויקת יותר (כתובת - 10.1 .5.0/24 ).השיטה היעילה ביותר למאבק בזיוף IP זהה למקרה של רחרוח מנות: אתה צריך להפוך את המתקפה ללא יעילה לחלוטין. זיוף IP יכול לעבוד רק אם האימות מבוסס על כתובות IP. לכן, הצגת שיטות אימות נוספות הופכת את סוג ההתקפה הזה לחסר תועלת. הסוג הטוב ביותר של אימות נוסף הוא קריפטוגרפי. אם זה לא אפשרי, אימות דו-שלבי באמצעות סיסמאות חד פעמיות יכול לתת תוצאות טובות.

מניעת שירות (DoS)

DoS הוא, ללא כל ספק, הצורה הידועה ביותר התקפות האקרים. בנוסף, התקפות מסוג זה הן הקשות ביותר ליצירת הגנה של 100% מפניהן. גם בקרב האקרים, התקפות DoS נחשבות טריוויאליות, והשימוש בהן גורם לחיוכים מזלזלים, כי ארגון DoS דורש מינימום ידע ומיומנויות. עם זאת, קלות היישום והנזק העצום שנגרם היא ש-DoS מושך את תשומת הלב הקרובה של מנהלי מערכת האחראים על אבטחת הרשת. אם אתה רוצה ללמוד עוד על התקפות DoS, עליך לשקול את הסוגים הידועים ביותר, כלומר:

TCP SYN Flood

· פינג המוות

· Tribe Flood Network (TFN) ו- Tribe Flood Network 2000 (TFN2K)

· Stacheldracht

התקפות DoS שונות מסוגים אחרים של התקפות. הם אינם מכוונים להשיג גישה לרשת שלך או לקבל מידע כלשהו מאותה רשת. התקפת DoS הופכת את הרשת שלך ללא זמינה לשימוש רגיל על ידי חריגה ממגבלות ההפעלה של הרשת, מערכת ההפעלה או האפליקציה. במקרה של יישומי שרת מסוימים (כגון שרת אינטרנט או שרת FTP), התקפות DoS יכולות לכלול השתלטות על כל החיבורים הזמינים לאותם יישומים ושמירה עליהם, ולמנוע שירות של משתמשים רגילים. התקפות DoS יכולות להשתמש בפרוטוקולי אינטרנט נפוצים כגון TCP ו-ICMP (Internet Control Message Protocol). רוב התקפות DoS אינן מסתמכות על באגים בתוכנה או על פרצות אבטחה, אלא על חולשות כלליות בארכיטקטורת המערכת. התקפות מסוימות פוגעות בביצועי הרשת על ידי הצפתה בחבילות לא רצויות ומיותרות או מידע מטעה על המצב הנוכחי של משאבי הרשת. קשה למנוע סוג זה של התקפה מכיוון שהיא דורשת תיאום עם ספק שירותי האינטרנט. אם לא ניתן לעצור את התעבורה שנועדה להציף את הרשת שלכם אצל הספק, אז בכניסה לרשת כבר לא תוכלו לעשות זאת, כי כל רוחב הפס יהיה תפוס. כאשר סוג זה של התקפה מתבצע בו זמנית דרך מכשירים רבים, אנו מדברים על מתקפת DoS מבוזרת (DDoS). איום בפיגועים סוג DoSניתן להפחית בשלוש דרכים:

· תכונות נגד זיוף - הגדרה נכונה של תכונות נגד זיוף בנתבים ובחומת האש שלך תעזור להפחית את הסיכון ל-DoS. תכונות אלו צריכות, לכל הפחות, לכלול סינון RFC 2827 אם האקר לא יכול להסוות את זהותו האמיתית, סביר להניח שהוא לא יבצע התקפה.

· תכונות Anti-DoS - תצורה נכונה של תכונות נגד DoS בנתבים וחומות אש יכולה להגביל את יעילות ההתקפות. תכונות אלה מגבילות לעתים קרובות את מספר הערוצים הפתוחים למחצה בכל זמן נתון.

· הגבלת תעבורה - ארגון יכול לבקש מ-ISP להגביל את כמות התעבורה. סוג זה של סינון מאפשר לך להגביל את כמות התעבורה הלא קריטית שעוברת ברשת שלך. דוגמה נפוצה היא הגבלת כמות תעבורת ICMP המשמשת למטרות אבחון בלבד. (ד) התקפות DoS משתמשות לעתים קרובות ב-ICMP.

התקפות סיסמאות

האקרים יכולים לבצע התקפות סיסמאות במגוון שיטות, כגון התקפת כוח גס, סוס טרויאני, זיוף IP והרחת מנות. למרות שלרוב ניתן להשיג כניסה וסיסמה באמצעות זיוף IP והרחת מנות, האקרים מנסים לעתים קרובות לנחש את הסיסמה ולהיכנס באמצעות ניסיונות גישה מרובים. גישה זו נקראת מתקפת כוח גס פשוט. משמש לעתים קרובות להתקפה כזו תוכנית מיוחדת, שמנסה לגשת למשאב ציבורי (לדוגמה, שרת). אם כתוצאה מכך ההאקר מקבל גישה למשאבים, הוא מקבל אותה עם זכויות משתמש רגיל, שהסיסמה שלו ניחשה. אם למשתמש זה יש הרשאות גישה משמעותיות, ההאקר יכול ליצור "פס" לגישה עתידית שיישאר בתוקף גם אם המשתמש ישנה את הסיסמה והכניסה שלו. בעיה נוספת מתעוררת כאשר משתמשים משתמשים באותה סיסמה (אפילו טובה מאוד) כדי לגשת למערכות רבות: מערכות ארגוניות, אישיות ואינטרנט. מכיוון שסיסמה חזקה רק כמו המארח החלש ביותר, האקר שלומד את הסיסמה דרך אותו מארח מקבל גישה לכל המערכות האחרות המשתמשות באותה סיסמה. קודם כל, ניתן להימנע מהתקפות סיסמאות על ידי אי שימוש בסיסמאות ב טופס טקסט. סיסמאות חד פעמיות ו/או אימות קריפטוגרפי יכולים למעשה לחסל את האיום של התקפות כאלה. למרבה הצער, לא כל היישומים, המארחים והמכשירים תומכים בשיטות האימות שלעיל. בעת שימוש בסיסמאות רגילות, נסו למצוא סיסמה שקשה לנחש. אורך הסיסמה המינימלי חייב להיות לפחות שמונה תווים. הסיסמה חייבת לכלול תווים רישיות, מספרים ו סמלים מיוחדים(#, %, $ וכו'). הסיסמאות הטובות ביותרקשה לנחש וקשה לזכור, מה שמאלץ את המשתמשים לרשום סיסמאות על נייר. כדי להימנע מכך, משתמשים ומנהלי מערכת יכולים לנצל מספר התקדמות טכנולוגית עדכנית. לדוגמה, ישנן תוכנות יישומים המצפינות רשימה של סיסמאות שניתן לאחסן בהן מחשב כיס. כתוצאה מכך, המשתמש צריך לזכור רק סיסמה מורכבת אחת, בעוד שכל שאר הסיסמאות יהיו מוגנות בצורה מהימנה על ידי האפליקציה. מנקודת מבט של מנהל, ישנן מספר שיטות להילחם בניחוש סיסמאות. אחד מהם הוא להשתמש בכלי L0phtCrack, המשמש לעתים קרובות על ידי האקרים כדי לנחש סיסמאות ב סביבת Windowsנ.ת. כלי זה יראה לך במהירות אם קל לנחש את הסיסמה שנבחרה של המשתמש.

התקפות אדם-באמצע

עבור התקפת Man-in-the-Middle, האקר זקוק לגישה לחבילות המועברות דרך הרשת. גישה כזו לכל החבילות המועברות מספק לכל רשת אחרת יכולה, למשל, להתקבל על ידי עובד של ספק זה. לעתים קרובות נעשה שימוש בסניפי מנות, פרוטוקולי הובלה ופרוטוקולי ניתוב עבור סוג זה של התקפה. התקפות מבוצעות במטרה לגנוב מידע, ליירט את הסשן הנוכחי ולקבל גישה למשאבי רשת פרטיים, לנתח תעבורה וקבלת מידע על הרשת ומשתמשיה, לבצע התקפות DoS, עיוות נתונים מועברים והזנת מידע לא מורשה. לתוך הפעלות רשת. ניתן להילחם ביעילות בהתקפות Man-in-the-Middle רק באמצעות קריפטוגרפיה. אם האקר מיירט נתונים מסשן מוצפן, מה שיופיע על המסך שלו הוא לא ההודעה המיירטת, אלא סט חסר משמעות של תווים. שימו לב שאם האקר משיג מידע על הפעלה קריפטוגרפית (לדוגמה, מפתח הפעלה), הדבר עלול לאפשר התקפת Man-in-the-Middle גם בסביבה מוצפנת.

התקפות ברמת האפליקציה

התקפות ברמת האפליקציה יכולות להתבצע בכמה דרכים. הנפוץ ביותר הוא לנצל חולשות שרת ידועות. תוֹכנָה(Sendmail, HTTP, FTP). על ידי ניצול חולשות אלו, האקרים יכולים לקבל גישה למחשב מטעם המשתמש המריץ את האפליקציה (בדרך כלל לא משתמש רגיל, אלא מנהל מיוחס עם זכויות גישה למערכת). מידע על התקפות ברמת היישום פורסם בהרחבה כדי לאפשר למנהלי מערכת לתקן את הבעיה באמצעות מודולים מתקינים (תיקונים). לרוע המזל, להאקרים רבים יש גם גישה למידע זה, מה שמאפשר להם ללמוד. הבעיה העיקרית בהתקפות שכבת יישומים היא שלעתים קרובות הן משתמשות בפורטים המורשים לעבור דרך חומת האש. לדוגמה, האקר המנצל חולשה ידועה בשרת אינטרנט ישתמש לעתים קרובות ביציאה 80 בהתקפת TCP מכיוון ששרת האינטרנט מספק דפי אינטרנט למשתמשים, חומת האש חייבת לאפשר גישה ליציאה זו. מנקודת המבט של חומת האש, מתייחסים למתקפה כאל תעבורה רגילה בפורט 80. אי אפשר לחסל לחלוטין התקפות ברמת האפליקציה. האקרים מגלים ומפרסמים כל הזמן נקודות תורפה חדשות באינטרנט. תוכניות יישום. הדבר החשוב ביותר כאן הוא ניהול מערכת טוב. להלן כמה צעדים שתוכל לנקוט כדי לצמצם את הפגיעות שלך להתקפה מסוג זה:

· לקרוא קובצי יומן מערכות הפעלהוקובצי יומן רשת ו/או ניתוחם באמצעות יישומים אנליטיים מיוחדים;

· להשתמש בגרסאות האחרונות של מערכות הפעלה ויישומים ובמודולי התיקון העדכניים ביותר (תיקונים);

· מלבד ניהול מערכת, השתמש במערכות זיהוי תקיפה (IDS). ישנן שתי טכנולוגיות IDS משלימות:

o מערכת רשת IDS (NIDS) מנטר את כל החבילות העוברות דרך תחום ספציפי. כאשר מערכת NIDS רואה חבילה או סדרה של מנות התואמות את החתימה של התקפה ידועה או סבירה, היא מייצרת אזעקה ו/או מסיימת את ההפעלה;

o Host IDS (HIDS) מגן על המארח באמצעות סוכני תוכנה. מערכת זו נלחמת רק בהתקפות נגד מארח יחיד;

· בעבודתן, מערכות IDS משתמשות בחתימות תקיפה, שהן פרופילים של התקפות ספציפיות או סוגי התקפות. חתימות מגדירות את התנאים שבהם תעבורה נחשבת להאקרים. אנלוגים של IDS ​​בעולם הפיזי יכולים להיחשב כמערכת אזהרה או מצלמת מעקב. החיסרון הגדול ביותר של IDS ​​הוא היכולת שלו להפעיל אזעקות. כדי למזער את מספר אזעקות השווא ולהבטיח תפקוד נכון של מערכת ה-IDS ברשת, יש צורך בהגדרה זהירה של המערכת.

מודיעין רשת

מודיעין רשת מתייחס לאיסוף מידע על רשת באמצעות נתונים ויישומים זמינים לציבור. כאשר מכינים מתקפה נגד רשת, האקר בדרך כלל מנסה לקבל כמה שיותר מידע עליה. סיור רשת מתבצע בצורה של שאילתות DNS, סריקות פינג וסריקת יציאות. שאילתות DNS עוזרות לך להבין מי הבעלים של דומיין מסוים ואילו כתובות מוקצות לדומיין זה. פינג כתובות גורפות שנחשפו באמצעות DNS מאפשרות לך לראות אילו מארחים פועלים בפועל בסביבה נתונה. לאחר קבלת רשימה של מארחים, ההאקר משתמש בכלי סריקת יציאות כדי להדר רשימה מלאהשירותים הנתמכים על ידי מארחים אלה. לבסוף, ההאקר מנתח את המאפיינים של האפליקציות הפועלות על המארחים. כתוצאה מכך מתקבל מידע שניתן להשתמש בו לפריצה. אי אפשר להיפטר לחלוטין ממודיעין רשת. אם, למשל, אתה משבית את ICMP echo and echo reply בנתבי קצה, אתה נפטר מבדיקות ping, אבל אתה מאבד את הנתונים הדרושים לאבחון כשלים ברשת. בנוסף, אתה יכול לסרוק יציאות ללא בדיקת פינג מוקדמת. זה פשוט ייקח יותר זמן, מכיוון שתצטרך לסרוק כתובות IP שאינן קיימות. מערכות IDS ברמת הרשת והמארח עושות בדרך כלל עבודה טובה בהתראה למנהלי מערכת על סיור רשת מתמשך, ומאפשרות להם להתכונן טוב יותר למתקפה הקרובה ולהתריע לספק שירותי האינטרנט (ISP) שעל הרשת שלו מותקנת מערכת סקרנית.

הפרת אמונים

באופן קפדני, סוג זה של פעולה אינו "מתקפה" או "תקיפה". זה מייצג ניצול זדוני של יחסי אמון שקיימים ברשת. דוגמה קלאסית להתעללות כזו היא המצב בחלק הפריפריאלי רשת ארגונית. קטע זה נמצא לעתים קרובות שרתי DNS, SMTP ו-HTTP. מכיוון שכולם שייכים לאותו פלח, פריצה לאחד מהם מובילה לפריצה של כל האחרים, שכן שרתים אלו סומכים על מערכות אחרות ברשת שלהם. דוגמה נוספת היא מערכת המותקנת בחלק החיצוני של חומת אש שיש לה קשרי אמון עם מערכת המותקנת בחלק הפנימי של חומת האש. אם מערכת חיצונית נפגעת, ההאקר יכול להשתמש ביחסי האמון כדי לחדור למערכת המוגנת על ידי חומת האש. ניתן להפחית את הסיכון להפרת אמון על ידי שליטה הדוקה יותר ברמות האמון ברשת שלך. מערכות הממוקמות מחוץ לחומת האש לעולם לא אמורות לקבל אמון מוחלט במערכות המוגנות על ידי חומת האש. קשרי אמון צריכים להיות מוגבלים לפרוטוקולים ספציפיים, ואם אפשר, מאומתים על ידי פרמטרים שאינם כתובות IP.

העברת נמלים

העברת פורטים היא סוג של ניצול לרעה של אמון שבו מארח שנפרץ משמש להעברת תעבורה דרך חומת אש שאחרת הייתה נדחית. בואו נדמיין חומת אש עם שלושה ממשקים, שכל אחד מהם מחובר למארח ספציפי. מארח חיצוני יכול להתחבר למארח גישה ציבורית(DMZ), אך לא למארח המותקן בחלק הפנימי של חומת האש. מארח משותף יכול להתחבר למארח פנימי וחיצוני כאחד. אם האקר משתלט על מארח ציבורי, הוא יכול להתקין עליו תוכנה שמנתבת תעבורה מהמארח החיצוני ישירות אל המארח הפנימי. למרות שזה לא מפר אף אחד מהכללים על המסך, המארח החיצוני מקבל גישה ישירה למארח המוגן כתוצאה מההפניה מחדש. דוגמה לאפליקציה שיכולה לספק גישה כזו היא netcat. הדרך העיקרית להילחם בהעברת נמלים היא להשתמש במודלים של אמון חזק (ראה סעיף קודם). בנוסף, כדי למנוע מהאקר להתקין משלו תוֹכנָהיכול לארח מערכת IDS (HIDS).

גישה לא מורשית

גישה לא מורשית לא יכולה להיחשב כסוג נפרד של התקפה. רוֹב התקפות רשתבוצע כדי לקבל גישה לא מורשית. כדי לנחש התחברות ל-telnet, האקר חייב לקבל תחילה הודעת telnet במערכת שלו. לאחר החיבור ליציאת telnet, מופיעה ההודעה "דרוש הרשאה לשימוש במשאב זה" (נדרש הרשאה לשימוש במשאב זה). אם ההאקר ימשיך לנסות גישה לאחר מכן, הם ייחשבו "לא מורשים". המקור להתקפות כאלה יכול להיות בתוך הרשת או מחוצה לה. שיטות להילחם בגישה לא מורשית הן די פשוטות. העיקר כאן הוא לצמצם או לבטל לחלוטין את יכולתו של ההאקר לקבל גישה למערכת באמצעות פרוטוקול לא מורשה. כדוגמה, שקול למנוע מהאקרים לגשת ליציאת telnet בשרת המספק שירותי אינטרנט למשתמשים חיצוניים. ללא גישה ליציאה זו, האקר לא יוכל לתקוף אותה. לגבי חומת האש, המשימה העיקרית שלו היא למנוע את המרב ניסיונות פשוטיםגישה לא מורשית.

וירוסים ויישומי סוס טרויאני

תחנות עבודה של משתמשי קצה פגיעות מאוד לווירוסים ולסוסים טרויאניים. וירוסים הם תוכנות זדוניות המוכנסות לתוכנות אחרות כדי לבצע פונקציה לא רצויה ספציפית במחשב. עמדת עבודהמשתמש קצה. דוגמה לכך היא וירוס שנכתב בקובץ command.com (המתורגמן הראשי מערכות ווינדוס) ומוחק קבצים אחרים, וגם מדביק את כל הגירסאות האחרות של command.com שהוא מוצא. הסוס הטרויאני הוא לא הוספת תוכנית, אלא תוכנית אמיתית שנראית כמו יישום שימושי, אבל למעשה מבצע תפקיד מזיק. דוגמה לסוס טרויאני טיפוסי היא תוכנית שנראית כמו משחק פשוטעבור תחנת העבודה של המשתמש. עם זאת, בזמן שהמשתמש משחק במשחק, התוכנית שולחת עותק של עצמה בדוא"ל לכל מנוי הרשום ב- פנקס הכתובותהמשתמש הזה. כל המנויים מקבלים את המשחק בדואר, מה שגורם להפצה נוספת שלו.

המאבק נגד וירוסים וסוסים טרויאניים מתבצע בעזרת תוכנת אנטי וירוס יעילה הפועלת ברמת המשתמש ואולי גם ברמת הרשת. מוצרי אנטי-וירוס מזהים את רוב הווירוסים והסוסים הטרויאניים ועוצרים את התפשטותם. קבלת המידע העדכני ביותר על וירוסים יעזור לך להילחם בהם בצורה יעילה יותר. עם צצים וירוסים וסוסים טרויאניים חדשים, עסקים חייבים להתקין גרסאות חדשות של כלים ויישומי אנטי-וירוס.

היקף התקפות DDoS גדל פי 50 בערך במהלך השנים האחרונות. במקביל, התוקפים מכוונים הן לתשתיות מקומיות והן לפלטפורמות ענן ציבוריות שבהן מרוכזים פתרונות הלקוחות.

"להתקפות המבוצעות בהצלחה יש השפעה ישירה על העסק של הלקוח והן הרסניות", אמר דארן אנסטי, דובר Arbor Networks, חברה לפתרונות אבטחת רשת.

במקביל, גם תדירות ההתקפות עולה. בסוף 2014, מספרם היה 83 אלף, וברבעון הראשון של 2015 הנתון גדל ל-126 אלף לכן, בחומר שלנו היום נרצה לשקול סוגים שונים של התקפות DDoS, כמו גם דרכים להתגונן מפני אוֹתָם.

איפוס TCP

איפוס TCP מבוצע על ידי מניפולציה של מנות RST בחיבור TCP. חבילת RST היא כותרת המאותתת שיש צורך בחיבור מחדש. זה משמש בדרך כלל כאשר זוהתה שגיאה כלשהי או שאתה רוצה להפסיק את טעינת הנתונים. תוקף יכול להפריע לחיבור TCP על ידי שליחת מנות RST עם ערכים חוקיים כל הזמן, מה שהופך את זה לבלתי אפשרי ליצור חיבור בין המקור ליעד.

ניתן למנוע סוג זה של התקפה על ידי ניטור כל חבילה משודרת ווידוא שרצף המספרים מגיע בסדר הנכון. מערכות ניתוח תנועה עמוקות יכולות להתמודד עם זה.

כיום, המטרה העיקרית של פריצה למכשירים היא לארגן מתקפות DDoS או לגרום נזק על ידי הגבלת גישה של משתמשים לאתר אינטרנט באינטרנט. לכן, גם מפעילי הטלקום עצמם, ספקי אינטרנט וחברות אחרות, לרבות VAS Experts, מציעים ומארגנים פתרונות להגנה מפני DDoS - ניטור תעבורה בזמן אמת למעקב אחר חריגות והתפרצויות בשימוש ברוחב הפס, פונקציית Carrier Grade NAT, המאפשרת לך "להסתיר" את מכשיר המנוי מפני פולשים, חסימת גישה אליו מהאינטרנט, כמו גם מערכות חכמות אחרות ואפילו למידה עצמית.

חדירה לרשת מחשבים מתבצעת בצורה של התקפות.

התקפה היא אירוע שבו אנשים מבחוץ מנסים לחדור לרשתות של מישהו אחר. התקפת רשת מודרנית כרוכה לרוב בניצול פגיעויות תוכנה. כמה מההתקפות הנפוצות ביותר בתחילת שנות ה-2000 היו התקפות ממוקדות כגון "מניעת שירות", DoS (Dental of Service) והפצה התקפות DDoS(DoS מבוזר). התקפת DoS הופכת את יעד ההתקפה ללא נגיש לשימוש רגיל על ידי חריגה מהגבולות המותרים של פעולתה. התקן רשת. DoS היא התקפה ממוקדת (מרוכזת), שכן היא מגיעה ממקור יחיד. במקרה של DDoS מבוזר, המתקפה מתבצעת ממספר מקורות המופצים בחלל, שייכים לרוב לרשתות שונות. לפני מספר שנים החלו להשתמש במונח זדוני קוד תוכנית VPK, המייצג וירוסים, תולעים, מערכות טרויאניות, כלים להתקפות רשת, שליחת דואר זבל ועוד פעולות שאינן רצויות למשתמש. לאור האופי המגוון של האיומים, מערכות ההגנה המודרניות הפכו לרב-שכבתיות ומורכבות. תולעי רשת הפיצו עותקים של עצמן על פניהן רשת מחשביםבאמצעות דואר אלקטרוני, הודעות. התוכנות הטרויאניות הנפוצות ביותר כיום הן אלו שמבצעות פעולות לא מורשות: הן משמידות נתונים ומשתמשות במשאבי מחשב למטרות זדוניות. התוכניות הטרויאניות המסוכנות ביותר כוללות תוכנות ריגול. הוא אוסף מידע על כל פעולות המשתמש, ולאחר מכן, מבלי שהמשתמש ישים לב, מעביר מידע זה לתוקפים. ניתן לכנות את שנת 2007 שנת "מוות" של תוכנות זדוניות לא מסחריות. אף אחד כבר לא מפתח את התוכנות האלה לביטוי עצמי. ניתן לציין שבשנת 2007 אף לא אחת תוכנות זדוניותלא יהיה בסיס כלכלי. אחת מהתוכנות הזדוניות החדשות נחשבת לתולעת הסערה, שהופיעה בינואר 2007. כדי להפיץ, התולעת השתמשה הן בשיטות מסורתיות, כמו דואר אלקטרוני, והן בהפצה בצורה של קבצי וידאו. ניתן להשתמש בטכניקת הסתרת הנוכחות של האדם במערכת (ערכות שורש) לא רק בתוכניות טרויאניות, אלא גם ב וירוסי קבצים. תוכנה זדונית שואפת כעת לשרוד במערכת גם לאחר גילויה.

אחת הדרכים המסוכנות להסתיר את נוכחותם היא להשתמש בטכנולוגיית הדבקה במגזר האתחול דיסק קשיח– מה שנקרא "bootkits". תוכנית זדונית כזו יכולה להשיג שליטה עוד לפני שהחלק העיקרי של מערכת ההפעלה נטען.

מגוון בעיות האבטחה אינו מוגבל עוד למשימת ההגנה מפני וירוסים, איתה נאלצנו להתמודד לפני כחמש שנים. הסכנה של דליפות מידע פנימיות הפכה חמורה יותר מאיומים חיצוניים. בנוסף, עם תחילת המאה ה-21, מטרת פשע המחשב הייתה גניבת מידע כלכלי, חשבונות בנק ושיבוש של מערכות מידעמתחרים, דיוור המוניפִּרסוּם. איום לא פחות, ולפעמים אפילו גדול יותר, על מערכות ה-IT הארגוניות נשקף ממקורבים - עובדי החברה שיש להם גישה ל מידע מסווגושימוש בו למטרות שליליות. מומחים רבים מאמינים שהנזק שנגרם על ידי מקורבים לא פחות משמעותי מזה שנגרם על ידי תוכנות זדוניות. אופייני שחלק ניכר מדליפות המידע מתרחש לא בשל פעולות זדוניות של עובדים, אלא בשל חוסר תשומת לב. האמצעי הטכני העיקרי למאבק בגורמים כאלה צריך להיות אמצעי אימות וניהול של גישה לנתונים. עם זאת, מספר התקריות ממשיך לגדול (בכ-30% בשנה בשנים האחרונות). בהדרגה, מתחילים להשתלב באמצעי אבטחה מפני הדלפות/פנים במערך אבטחת המידע הכולל. לסיכום, אנו מספקים סיווג כללי של איומי רשת (איור 11.3)

הרצאה 33 סוגי וסוגי התקפות רשת

הרצאה 33

נושא: סוגים וסוגים של התקפות רשת

התקפת רשת מרחוק היא השפעה הרסנית של מידע על מערכת מחשוב מבוזרת, המתבצעת באופן פרוגרמטי באמצעות ערוצי תקשורת.

מבוא

כדי לארגן תקשורת בסביבת רשת הטרוגנית, נעשה שימוש בסט של פרוטוקולי TCP/IP, המבטיחים תאימות בין מחשבים מסוגים שונים. מערכת פרוטוקולים זו צברה פופולריות בשל התאימות שלה ומתן גישה למשאבים של האינטרנט העולמי והפכה לסטנדרט לעבודה באינטרנט. עם זאת, הנוכחות בכל מקום של מחסנית פרוטוקול TCP/IP חשפה גם את החולשות שלה. זה הופך מערכות מבוזרות לרגישות במיוחד להתקפות מרוחקות, מכיוון שהרכיבים שלהן משתמשים בדרך כלל ערוצים פתוחיםהעברת נתונים, והפורץ יכול לא רק לצותת באופן פסיבי למידע המועבר, אלא גם לשנות את התעבורה המשודרת.

הקושי לזהות תקיפה מרחוק והקלות היחסית ביישום (בשל הפונקציונליות המיותרת של מערכות מודרניות) מעמידים סוג זה של פעולה בלתי חוקית במקום הראשון מבחינת מידת הסכנה ומונעת מענה בזמן לאיום, בתור כתוצאה מכך התוקף מגדיל את הסיכויים ליישום מוצלח של המתקפה.

סיווג תקיפה

לפי אופי ההשפעה

פַּסִיבִי

פָּעִיל

השפעה פסיבית על מערכת מחשוב מבוזרת (DCS) היא השפעה כלשהי שאינה משפיעה ישירות על פעולת המערכת, אך בה בעת עלולה להפר את מדיניות האבטחה שלה. היעדר השפעה ישירה על פעולת ה-RVS מוביל בדיוק לעובדה שקשה לזהות השפעה מרחוק פסיבית (RPI). דוגמה אפשרית ל-PUV טיפוסי ב-DCS היא האזנה לערוץ תקשורת ברשת.

השפעה אקטיבית על ה-DCS - השפעה שיש לה השפעה ישירה על פעולת המערכת עצמה (פגיעה בפונקציונליות, שינוי בתצורת ה-DCS וכדומה), המפרה את מדיניות האבטחה שננקטה בה. כמעט כל סוגי ההתקפות המרוחקות הן השפעות אקטיביות. זאת בשל העובדה שעצם האפקט המזיק כולל עיקרון פעיל. ההבדל הברור בין השפעה אקטיבית להשפעה פסיבית הוא האפשרות הבסיסית לגילויו, שכן כתוצאה מיישומה מתרחשים כמה שינויים במערכת. בהשפעה פסיבית, לא נשארו עקבות (בשל העובדה שהתוקף צופה בהודעה של מישהו אחר במערכת, שום דבר לא ישתנה באותו רגע).

לפי מטרת השפעה

הפרה של תפקוד המערכת (גישה למערכת)

הפרה של שלמות משאבי המידע (IR)

הפרת סודיות IR

תכונה זו, שבאמצעותה נעשה הסיווג, היא בעצם השלכה ישירה של שלושה סוגים בסיסיים של איומים - מניעת שירות, חשיפה והפרת יושרה.

המטרה העיקרית שנרדפת כמעט בכל מתקפה היא להשיג גישה לא מורשית למידע. ישנן שתי אפשרויות בסיסיות להשגת מידע: עיוות ויירוט. האפשרות ליירט מידע פירושה קבלת גישה אליו ללא אפשרות לשנותו. יירוט המידע מוביל אפוא להפרה של סודיותו. האזנה לערוץ ברשת היא דוגמה ליירוט מידע. במקרה זה, קיימת גישה לא לגיטימית למידע ללא אפשרויות אפשריותהמחליפה שלה. ברור גם שהפרת סודיות המידע מתייחסת להשפעות פסיביות.

יש להבין את האפשרות של החלפת מידע כ שליטה מלאהעל זרימת המידע בין אובייקטי מערכת, או היכולת להעביר מסרים שונים בשמו של מישהו אחר. לפיכך, ברור שהחלפת מידע מביאה לפגיעה בשלמותו. השפעה הרסנית כזו היא דוגמה טיפוסית להשפעה אקטיבית. דוגמה להתקפה מרחוק שנועדה להפר את שלמות המידע היא ההתקפה המרוחקת "False RVS object" (RA).

בהתאם לזמינות מָשׁוֹבעם החפץ המותקף

עם משוב

אין משוב (התקפה חד כיוונית)

התוקף שולח כמה בקשות לחפץ המותקף, עליהן הוא מצפה לקבל תגובה. כתוצאה מכך, משוב מופיע בין התוקף לבין המותקף, מה שמאפשר לראשון להגיב בצורה נאותה לכל מיני שינויים באובייקט המותקף. זוהי המהות של התקפה מרחוק, המתבצעת בנוכחות משוב מהאובייקט התוקף. התקפות כאלה אופייניות ביותר ל-RVS.

התקפות בלולאה פתוחה מאופיינות בכך שהן אינן צריכות להגיב לשינויים באובייקט המותקף. התקפות כאלה מבוצעות בדרך כלל על ידי שליחת בקשות בודדות לאובייקט המותקף. התוקף אינו זקוק לתשובות לבקשות אלו. UA כזה יכול להיקרא גם UA חד כיווני. דוגמה להתקפות חד-כיווניות היא מתקפת DoS טיפוסית.

לפי מצב תחילת הפגיעה

השפעה מרחוק, כמו כל השפעה אחרת, יכולה להתחיל להתרחש רק בתנאים מסוימים. ישנם שלושה סוגים של התקפות מותנות כאלה ב-RVS:

תקיפה לפי בקשה מהאובייקט המותקף

התקפה על התרחשות אירוע צפוי על האובייקט המותקף

תקיפה ללא תנאי

ההשפעה מהתוקף תתחיל בתנאי שהמטרה הפוטנציאלית של המתקפה תעביר בקשה מסוג מסוים. תקיפה כזו יכולה להיקרא תקיפה על פי בקשה מהאובייקט המותקף. סוג זה של UA אופייני ביותר ל-RVS. דוגמה לבקשות כאלה באינטרנט היא בקשות DNS ו-ARP, וב-Novell NetWare - בקשה של SAP.

התקפה על התרחשות אירוע צפוי על החפץ המותקף. התוקף עוקב באופן רציף אחר מצב מערכת ההפעלה של יעד ההתקפה המרוחק ומתחיל להשפיע מתי מתרחש אירוע ספציפי במערכת זו. החפץ המותקף עצמו הוא היוזם של המתקפה. דוגמה לאירוע כזה היא שההפעלה של משתמש עם השרת מופסקת מבלי להוציא את הפקודה LOGOUT ב-Novell NetWare.

תקיפה ללא תנאי מתבצעת באופן מיידי וללא קשר למצב מערכת ההפעלה והאובייקט המותקף. לכן, התוקף הוא היוזם של התקיפה במקרה זה.

אם הפעולה הרגילה של המערכת מופרעת, מטרות אחרות נמשכות והתוקף לא צפוי לקבל גישה לא חוקית לנתונים. מטרתו היא להשבית את מערכת ההפעלה של האובייקט המותקף ולאפשר לאובייקטי מערכת אחרים לגשת למשאבים של אובייקט זה. דוגמה להתקפה מסוג זה היא מתקפת DoS.

לפי מיקום מושא התקיפה ביחס לחפץ המותקף

תוך מגזרי

נוהל לאיתור התקפות רשת.

1. סיווג התקפות רשת

1.1. מרחרח מנות

מנהרת מנות היא תוכנת יישום המשתמשת בכרטיס רשת הפועל במצב מופקר ( במצב זה, כל החבילות המתקבלות בערוצים פיזיים נשלחות על ידי מתאם הרשת ליישום לעיבוד). במקרה זה, הסניפר מיירט את כל מנות הרשת המועברות דרך תחום ספציפי.

1.2. זיוף IP

זיוף IP מתרחש כאשר האקר, בתוך או מחוצה למערכת, מתחזה למשתמש מורשה. ניתן לעשות זאת בשתי דרכים. ראשית, האקר יכול להשתמש בכתובת IP שנמצאת בטווח של כתובות IP מורשות, או כתובת חיצונית מורשית המאפשרת גישה למשאבי רשת מסוימים. התקפות זיוף IP הן לרוב נקודת המוצא להתקפות אחרות. דוגמה קלאסית היא מתקפת DoS, שמתחילה מכתובת של מישהו אחר, מסתירה את זהותו האמיתית של ההאקר.

בדרך כלל, זיוף IP מוגבל להכנסת מידע שקרי או פקודות זדוניות לזרימה הרגילה של נתונים המועברים בין יישום לקוח לשרת או דרך ערוץ תקשורת בין התקני עמית. עבור תקשורת דו-כיוונית, על ההאקר לשנות את כל טבלאות הניתוב כדי להפנות תעבורה לכתובת ה-IP השגויה. חלק מההאקרים, לעומת זאת, אפילו לא מנסים לקבל תגובה מהיישומים. אם המשימה העיקרית היא לקבל קובץ חשוב מהמערכת, אין חשיבות לתגובות האפליקציה.

אם האקר יצליח לשנות את טבלאות הניתוב ולהפנות תנועה לכתובת IP שגויה, ההאקר יקבל את כל החבילות ויוכל להגיב להן כאילו היה משתמש מורשה.

1.3. מניעת שירות ( מניעת שירות - DoS)

DoS היא הצורה הידועה ביותר של התקפות האקרים. התקפות מסוג זה הן הקשות ביותר ליצירת 100% הגנה מפניהן.

הסוגים המפורסמים ביותר של DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• טרינקו;
• Stacheldracht;
• שְׁלִישִׁיָה.

התקפות DoS שונות מסוגים אחרים של התקפות. הם אינם מכוונים להשיג גישה לרשת או לקבל מידע כלשהו מאותה רשת. התקפת DoS הופכת רשת ללא זמינה לשימוש רגיל על ידי חריגה מהמגבלות המקובלות של הרשת, מערכת ההפעלה או האפליקציה.

בעת שימוש ביישומי שרת מסוימים (כגון שרת אינטרנט או שרת FTP) התקפות DoS יכולות להיות פשוטות כמו השתלטות על כל החיבורים הזמינים ליישומים אלה והשארתם עסוקים, ולמנוע שירות של משתמשים רגילים. התקפות DoS יכולות להשתמש בפרוטוקולי אינטרנט נפוצים כגון TCP ו-ICMP ( פרוטוקול הודעות בקרת אינטרנט). רוב התקפות DoS אינן מסתמכות על באגים בתוכנה או על פרצות אבטחה, אלא על חולשות כלליות בארכיטקטורת המערכת. התקפות מסוימות פוגעות בביצועי הרשת על ידי הצפתה בחבילות לא רצויות ומיותרות או מידע מטעה על המצב הנוכחי של משאבי הרשת. קשה למנוע סוג זה של התקפה מכיוון שהיא דורשת תיאום עם ספק שירותי האינטרנט. אם לא ניתן לעצור את התעבורה שנועדה להציף את הרשת שלכם אצל הספק, אז בכניסה לרשת כבר לא תוכלו לעשות זאת, כי כל רוחב הפס יהיה תפוס. כאשר סוג זה של התקפה מתבצע בו זמנית דרך מכשירים רבים, ההתקפה היא DoS מבוזר ( DDoS - DoS מבוזר).

1.4. התקפות סיסמאות

האקרים יכולים לבצע התקפות סיסמאות באמצעות מספר שיטות, כגון כוח גס ( התקפה בכוח אלים), סוס טרויאני, זיוף IP והרחת מנות. למרות שלרוב ניתן להשיג כניסה וסיסמה באמצעות זיוף IP והרחת מנות, האקרים מנסים לעתים קרובות לנחש את הסיסמה ולהיכנס באמצעות ניסיונות גישה מרובים. גישה זו נקראת ספירה פשוטה (התקפה בכוח אלים). לעתים קרובות מתקפה כזו משתמשת בתוכנה מיוחדת שמנסה לקבל גישה למשאב ציבורי ( למשל, לשרת). אם, כתוצאה מכך, ההאקר מקבל גישה למשאבים, הוא מקבל גישה לזכויות של משתמש רגיל שהסיסמה שלו ניחשה. אם למשתמש זה יש הרשאות גישה משמעותיות, ההאקר יכול ליצור "פס" לגישה עתידית שיישאר בתוקף גם אם המשתמש ישנה את הסיסמה והכניסה שלו.

בעיה נוספת מתרחשת כאשר משתמשים משתמשים באותו ( גם אם זה טוב מאוד) סיסמה לגישה למערכות רבות: מערכות ארגוניות, אישיות ואינטרנט. מכיוון שסיסמה חזקה רק כמו המארח החלש ביותר, האקר שלומד את הסיסמה דרך אותו מארח מקבל גישה לכל המערכות האחרות המשתמשות באותה סיסמה.

1.5. התקפות אדם-באמצע

עבור התקפת Man-in-the-Middle, האקר זקוק לגישה לחבילות המועברות דרך הרשת. גישה כזו לכל החבילות המועברות מספק לכל רשת אחרת יכולה, למשל, להתקבל על ידי עובד של ספק זה. לעתים קרובות נעשה שימוש בסניפי מנות, פרוטוקולי הובלה ופרוטוקולי ניתוב עבור סוג זה של התקפה. התקפות מבוצעות במטרה לגנוב מידע, ליירט את הסשן הנוכחי ולקבל גישה למשאבי רשת פרטיים, לנתח תעבורה וקבלת מידע על הרשת ומשתמשיה, לבצע התקפות DoS, עיוות נתונים מועברים והזנת מידע לא מורשה. לתוך הפעלות רשת.

1.6. התקפות ברמת האפליקציה

התקפות ברמת האפליקציה יכולות להתבצע בכמה דרכים. הנפוץ שבהם הוא ניצול חולשות בתוכנת השרת ( sendmail, HTTP, FTP). על ידי ניצול החולשות הללו, האקרים יכולים לקבל גישה למחשב כשהמשתמש מריץ את האפליקציה ( בדרך כלל זה לא משתמש פשוט, אלא מנהל מיוחס עם זכויות גישה למערכת). מידע על התקפות ברמת האפליקציה פורסם בהרחבה כדי לאפשר למנהלי מערכת לתקן את הבעיה באמצעות מודולי תיקון ( טלאים). הבעיה העיקרית בהתקפות שכבת יישומים היא שלעתים קרובות הן משתמשות בפורטים המורשים לעבור דרך חומת האש. לדוגמה, האקר המנצל חולשה ידועה בשרת אינטרנט ישתמש לעתים קרובות ביציאה 80 בהתקפת TCP מכיוון ששרת האינטרנט מספק דפי אינטרנט למשתמשים, חומת האש חייבת לאפשר גישה ליציאה זו. מנקודת המבט של חומת האש, ההתקפה מטופלת כתעבורה רגילה ביציאה 80.

1.7. מודיעין רשת

מודיעין רשת מתייחס לאיסוף מידע רשת באמצעות נתונים ויישומים זמינים לציבור. כאשר מכינים מתקפה נגד רשת, האקר בדרך כלל מנסה לקבל כמה שיותר מידע עליה. סיור רשת מתבצע בצורה של שאילתות DNS, סריקות פינג וסריקת יציאות. שאילתות DNS עוזרות לך להבין מי הבעלים של דומיין מסוים ואילו כתובות מוקצות לדומיין זה. בדיקת אקו ( פינג סוויפ) כתובות שנחשפו על ידי DNS מאפשרות לך לראות אילו מארחים פועלים בפועל בסביבה נתונה. לאחר קבלת רשימה של מארחים, ההאקר משתמש בכלי סריקת יציאות כדי להרכיב רשימה מלאה של שירותים הנתמכים על ידי אותם מארחים. לבסוף, ההאקר מנתח את המאפיינים של האפליקציות הפועלות על המארחים. כתוצאה מכך מתקבל מידע שניתן להשתמש בו לפריצה.

1.8. הפרת אמונים

סוג זה של פעולה לא "לִתְקוֹף"אוֹ "תקיפה". זה מייצג ניצול זדוני של יחסי אמון שקיימים ברשת. דוגמה לכך היא מערכת המותקנת בחלק החיצוני של חומת אש שיש לה קשרי אמון עם מערכת המותקנת בחלק הפנימי של חומת האש. אם מערכת חיצונית נפגעת, ההאקר יכול להשתמש ביחסי האמון כדי לחדור למערכת המוגנת על ידי חומת האש.

1.9. העברת נמלים

העברת פורטים היא סוג של ניצול לרעה של אמון שבו מארח שנפרץ משמש להעברת תעבורה דרך חומת אש שאחרת הייתה נדחית. דוגמה לאפליקציה שיכולה לספק גישה כזו היא netcat.

1.10. גישה לא מורשית

גישה לא מורשית לא יכולה להיחשב כסוג נפרד של התקפה. רוב התקפות הרשת מבוצעות כדי לקבל גישה לא מורשית. כדי לנחש התחברות ל-telnet, האקר חייב לקבל תחילה הודעת telnet במערכת שלו. לאחר החיבור ליציאת telnet, מופיעה הודעה על המסך "נדרש הרשאה לשימוש במשאב הזה" (כדי להשתמש במשאבים אלה אתה זקוק להרשאה). אם לאחר מכן ההאקר ימשיך לנסות גישה, הם ייחשבו "לא מורשה". המקור להתקפות כאלה יכול להיות בתוך הרשת או מחוצה לה.

1.11. וירוסים ויישומים כמו "סוס טרויאני"

תחנות עבודה של לקוחות פגיעות מאוד לווירוסים ולסוסים טרויאניים. "סוס טרויאני"- זה לא הוספת תוכנית, אלא תוכנית אמיתית שנראית כמו אפליקציה שימושית, אבל למעשה מבצעת תפקיד מזיק.

2. שיטות למניעת התקפות רשת

2.1. אתה יכול להפחית את האיום של רחרח מנות על ידי שימוש בכלים הבאים:

2.1.1. אימות - אימות חזק הוא ההגנה הראשונה מפני רחרוח מנות. תַחַת "חָזָק"אנו מבינים שזו שיטת אימות שקשה לעקוף אותה. דוגמה לאימות כזה היא סיסמאות חד פעמיות ( OTP - סיסמאות חד פעמיות). OTP היא טכנולוגיית אימות דו-גורמי המשלבת את מה שיש לך עם מה שאתה יודע. מתחת ל"כרטיס" ( אֲסִימוֹן) פירושו חומרה או תוכנה שמייצרים ( באופן אקראי) סיסמה חד פעמית חד פעמית ייחודית. אם האקר יגלה את הסיסמה הזו באמצעות סניפר, המידע הזה יהיה חסר תועלת מכיוון שבשלב זה כבר נעשה שימוש בסיסמה ותיגמל. שיטה זו למאבק בהרחה יעילה רק נגד יירוט סיסמה.

2.1.2. תשתית מיתוגדת – דרך נוספת להילחם בסניף מנות בסביבת רשת היא יצירת תשתית מיתוגדת, שבה האקרים יכולים לגשת רק לתעבורה שמגיעה ליציאה אליה הם מחוברים. התשתית המתחלפת אינה מבטלת את איום ההרחה, אך היא מפחיתה משמעותית את חומרתה.

2.1.3. אנטי-סניפרים - הדרך השלישית להילחם בהרחה היא התקנת חומרה או תוכנה המזהה סניפרים הפועלים ברשת שלך. כלים אלו אינם יכולים לבטל לחלוטין את האיום, אך, כמו כלי אבטחת רשת רבים אחרים, הם כלולים במערכת ההגנה הכוללת. כך נקרא "אנטי מרחרחים"למדוד את זמני התגובה של המארח ולקבוע אם המארחים צריכים לעבד "תוֹסֶפֶת"תְנוּעָה.

2.1.4. קריפטוגרפיה – הדרך היעילה ביותר להילחם בהרחת מנות אינה מונעת יירוט או מזהה את עבודת המרחרחים, אלא הופכת את העבודה הזו לחסרת תועלת. אם ערוץ התקשורת מאובטח מבחינה קריפטוגרפית, זה אומר שההאקר לא מיירט את ההודעה, אלא את הטקסט הצפנה (כלומר, רצף לא מובן של ביטים).

2.2. ניתן להפחית את האיום של זיוף ( אבל לא מחוסל)באמצעות האמצעים הבאים:

2.2.1. בקרת גישה - הדרך הקלה ביותר למנוע זיוף IP היא להגדיר כראוי את בקרות הגישה. כדי להפחית את האפקטיביות של זיוף IP, בקרת הגישה מוגדרת לדחות כל תעבורה שמגיעה מרשת חיצונית עם כתובת מקור שאמורה להיות ממוקמת בתוך הרשת שלך. זה עוזר להילחם בזיוף IP, שבו רק כתובות פנימיות מורשות. אם גם כתובות רשת חיצוניות מסוימות מאושרות, שיטה זו הופכת ללא יעילה.

2.2.2. סינון RFC 2827 - עצירת ניסיונות לזייף רשתות של אנשים אחרים על ידי משתמשים ברשת ארגונית. לשם כך יש לדחות כל תעבורה יוצאת שכתובת המקור שלה אינה אחת מכתובות ה-IP של הבנק. סוג זה של סינון, המכונה "RFC 2827", יכול להתבצע גם על ידי ספק שירותי האינטרנט ( ISP). כתוצאה מכך, כל התעבורה שאין לה כתובת מקור הצפויה בממשק מסוים נדחית.

2.2.3. השיטה היעילה ביותר למלחמה בזיוף IP זהה לזו של ריחוח מנות: אתה צריך להפוך את המתקפה ללא יעילה לחלוטין. זיוף IP יכול לעבוד רק אם האימות מבוסס על כתובות IP. לכן, הכנסת שיטות אימות נוספות הופכת את סוג ההתקפה הזה לחסר תועלת. הסוג הטוב ביותר של אימות נוסף הוא קריפטוגרפי. אם זה לא אפשרי, אימות דו-שלבי באמצעות סיסמאות חד פעמיות יכול לתת תוצאות טובות.

2.3. ניתן להפחית את האיום של התקפות DoS בדרכים הבאות:

2.3.1. תכונות נגד זיוף - הגדרה נכונה של תכונות נגד זיוף בנתבים ובחומת האש שלך תעזור להפחית את הסיכון ל-DoS. תכונות אלו צריכות, לכל הפחות, לכלול סינון RFC 2827 אם האקר לא יכול להסוות את זהותו האמיתית, סביר להניח שהוא לא יבצע התקפה.

2.3.2. תכונות Anti-DoS - תצורה נכונה של תכונות Anti-DoS בנתבים וחומות אש יכולה להגביל את יעילות ההתקפות. פונקציות אלו מגבילות את מספר הערוצים הפתוחים למחצה בכל זמן נתון.

2.3.3. הגבלת נפח התנועה ( הגבלת קצב תנועה) - הסכם עם הספק ( ISP) על הגבלת נפח התנועה. סוג זה של סינון מאפשר לך להגביל את כמות התעבורה הלא קריטית העוברת ברשת. דוגמה נפוצה היא הגבלת כמות תעבורת ICMP המשמשת למטרות אבחון בלבד. התקפות ( ד) DoS משתמשים לעתים קרובות ב-ICMP.

2.3.4. חסימת כתובות IP - לאחר ניתוח מתקפת ה-DoS וזיהוי טווח כתובות ה-IP מהן מתבצעת המתקפה, פנה לספק שלך על מנת לחסום אותן.

2.4. ניתן להימנע מהתקפות סיסמאות על ידי אי שימוש בסיסמאות טקסט רגיל. סיסמאות חד פעמיות ו/או אימות קריפטוגרפי יכולים למעשה לחסל את האיום של התקפות כאלה. לא כל היישומים, המארחים והמכשירים תומכים בשיטות האימות שלעיל.

כאשר אתה משתמש בסיסמאות רגילות, אתה צריך להמציא סיסמה שיהיה קשה לנחש. אורך הסיסמה המינימלי חייב להיות לפחות שמונה תווים. הסיסמה חייבת לכלול תווים רישיות, מספרים ותווים מיוחדים ( #, %, $ וכו'.). את הסיסמאות הטובות ביותר קשה לנחש וקשה לזכור, מה שמאלץ את המשתמשים לרשום סיסמאות על הנייר.

2.5. ניתן להילחם ביעילות בהתקפות Man-in-the-Middle רק באמצעות קריפטוגרפיה. אם האקר מיירט נתונים מסשן מוצפן, מה שיופיע על המסך שלו הוא לא ההודעה המיירטת, אלא סט חסר משמעות של תווים. שים לב שאם האקר משיג מידע על הפעלה קריפטוגרפית ( לדוגמה, מפתח הפעלה), זה יכול לאפשר התקפת Man-in-the-Middle אפילו בסביבה מוצפנת.

2.6. לא ניתן לבטל לחלוטין התקפות ברמת האפליקציה. האקרים מגלים ומפרסמים כל הזמן נקודות תורפה חדשות בתוכנות יישומים באינטרנט. הדבר החשוב ביותר הוא ניהול מערכת טוב.

אמצעים שתוכל לנקוט כדי להפחית את הפגיעות שלך לסוג זה של התקפה:

• קריאה ו/או ניתוח של קובצי יומן מערכת הפעלה וקובצי יומן רשת באמצעות יישומים אנליטיים מיוחדים;
• עדכון בזמן של גרסאות מערכות הפעלה ויישומים והתקנה של מודולי התיקון העדכניים ביותר ( טלאים);
• שימוש במערכות זיהוי תקיפה ( IDS).

2.7. אי אפשר להיפטר לחלוטין ממודיעין רשת. אם אתה משבית את ICMP echo and echo reply בנתבי קצה, אתה נפטר מבדיקות ping, אבל אתה מאבד את הנתונים הדרושים לאבחון כשלים ברשת. בנוסף, ניתן לסרוק יציאות ללא בדיקת פינג מוקדמת. זה פשוט ייקח יותר זמן, מכיוון שתצטרך לסרוק כתובות IP שאינן קיימות. מערכות IDS ברמת הרשת והמארח בדרך כלל עושות עבודה טובה במתן הודעה למנהל המערכת על סיור מתמשך ברשת, מה שמאפשר להם להתכונן טוב יותר למתקפה הקרובה ולהודיע ​​לספקית האינטרנט ( ISP), שעל הרשת שלו מותקנת מערכת שמגלה סקרנות יתרה.

2.8. ניתן להפחית את הסיכון להפרת אמון על ידי שליטה הדוקה יותר ברמות האמון ברשת שלך. מערכות הממוקמות מחוץ לחומת האש לעולם לא אמורות לקבל אמון מוחלט במערכות המוגנות על ידי חומת האש. קשרי אמון צריכים להיות מוגבלים לפרוטוקולים ספציפיים, ואם אפשר, מאומתים על ידי פרמטרים שאינם כתובות IP.

2.9. הדרך העיקרית להילחם בהעברת נמלים היא להשתמש במודלים של אמון חזק ( ראה סעיף 2.8 ). בנוסף, המערכת המארח IDS יכולה למנוע מהאקר להתקין את התוכנה שלו על המארח ( HIDS).

2.10. שיטות להילחם בגישה לא מורשית הן די פשוטות. העיקר כאן הוא לצמצם או לבטל לחלוטין את יכולתו של ההאקר לקבל גישה למערכת באמצעות פרוטוקול לא מורשה. כדוגמה, שקול למנוע מהאקרים לגשת ליציאת telnet בשרת המספק שירותי אינטרנט למשתמשים חיצוניים. ללא גישה ליציאה זו, האקר לא יוכל לתקוף אותה. באשר לחומת האש, המשימה העיקרית שלה היא למנוע את הניסיונות הפשוטים ביותר של גישה לא מורשית.

2.11. המאבק נגד וירוסים וסוסים טרויאניים מתבצע באמצעות תוכנת אנטי וירוס יעילה הפועלת ברמת המשתמש וברמת הרשת. מוצרי אנטי-וירוס מזהים את רוב הווירוסים והסוסים הטרויאניים ועוצרים את התפשטותם.

3. אלגוריתם פעולות בעת זיהוי התקפות רשת

3.1. רוב התקפות הרשת נחסמות על ידי כלי אבטחת מידע המותקנים אוטומטית ( חומות אש, כלי אתחול מהימנים, נתבי רשת, כלי אנטי וירוס וכו'.).

3.2. התקפות הדורשות התערבות של אנשי כוח אדם כדי לחסום אותן או להפחית את חומרת ההשלכות כוללות התקפות DoS.

3.2.1. התקפות DoS מזוהות על ידי ניתוח תעבורת רשת. תחילת ההתקפה מאופיינת ב" פטיש» ערוצי תקשורת באמצעות מנות עתירות משאבים עם כתובות מזויפות. התקפה כזו על אתר בנקאות מקוונת מסבכת את הגישה למשתמשים לגיטימיים ומשאב האינטרנט עלול להפוך לבלתי נגיש.

3.2.2. אם מזוהה התקפה, מנהל המערכת מבצע את הפעולות הבאות:

• מעביר באופן ידני את הנתב לערוץ הגיבוי ובחזרה על מנת לזהות ערוץ פחות עמוס (ערוץ עם רוחב פס רחב יותר);
• מזהה את טווח כתובות ה-IP שמהן מתבצעת ההתקפה;
• שולחת בקשה לספק לחסום כתובות IP מהטווח שצוין.

3.3. התקפת DoS משמשת בדרך כלל כדי להסוות מתקפה מוצלחת על משאבי לקוח על מנת להקשות על זיהויה. לכן, בעת זיהוי התקפת DoS, יש צורך לנתח את העסקאות האחרונות על מנת לזהות עסקאות חריגות, לחסום אותן (במידת האפשר), וליצור קשר עם לקוחות דרך ערוץ חלופי כדי לאשר את העסקאות.

3.4. אם מתקבל מידע על פעולות בלתי מורשות מהלקוח, נרשמות כל הראיות הזמינות, נערכת חקירה פנימית ומוגשת בקשה לרשויות אכיפת החוק.

הורד קובץ ZIP (24151)

אם המסמכים היו שימושיים, אנא תנו להם "אהבתי":