Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
µте остановить. При тщательной подготовке и исполнении именно такой является атака типа "распределенный отказ в обслуживании" (distributed denial of service-DDoS). Как показано в Приложении В "Основы сетевой безопасности", эта атака заставляет десятки или даже сотни машин одновременно отправлять ненужные данные на определенный IP-адрес. Цель атаки состоит в том, чтобы не просто "повесить" отдельный хост, а прекратить функционирование целой сети.
Представьте себе организацию с каналом доступа DS3 (45 Мбит/с), которая предоставляет услуги электронной коммерции пользователям своего web-сайта. Этот сайт хорошо защищен от самых разных атак.
Он имеет систему обнаружения атак, межсетевые экраны, систему авторизации доступа и средства активного мониторинга. К сожалению, все эти средства не могут защитить от хорошо подготовленной атаки типа DDoS.
Представьте себе сто устройств, находящихся в разных уголках мира. Каждое из них имеет канал доступа DS1 (1,5 Мбит/с). Если этим системам в удаленном режиме дать соответствующую команду, они легко и просто заполнят канал DS3 ненужной информацией. Даже если каждый хост может сгенерировать трафик объемом 1 Мбит/с (а лабораторные испытания показали, что при наличии специального средства DDoS обычная рабочая станция Unix может легко сгенерировать и 50 Мбит/с), это более чем в два раза перекроет полосу пропускания атакуемого сайта. В результате сайт не сможет реагировать на реальные запросы и с точки зрения пользователей будет неработоспособным. Разумеется, местный межсетевой экран отфильтрует ложные данные, но будет поздно. Ущерб уже будет нанесен. Трафик пройдет по каналу связи с территориальной сетью и заполнит весь канал до предела. Компания может надеяться на отражение таких атак только с помощью Интернет-провайдера. Провайдер может определить максимально допустимые границы для трафика, передаваемого на корпоративный сайт. При достижении пороговой величины нежелательный трафик будет отбраковываться. Главное здесь - правильно пометить трафик как нежелательный.
Обычно атаки типа DDoS проводятся в форме переполнения ICMP, переполнения TCP SYN или переполнения UDP. В среде электронной коммерции этот тип трафика очень легко категоризировать. Только в случае ограничения атаки TCP SYN на порту 80 (http) администратор рискует блокировать санкционированных пользователей. И даже в этом случае лучше временно блокировать несколько пользователей и сохранить маршрутизацию и каналы управления, чем "повесить" маршрутизатор и потерять все соединения.
Более изощренные хакеры используют атаки через порт 80 с установленным битом АСК таким образом, что трафик выглядит как обычный результат web-транзакций. Администратор вряд ли сможет правильно распознать такую атаку, поскольку используемый ею трафик ТСР носит точно такой же характер, что и обычный трафик, который необходимо пропускать в сеть.
Одним из способов ограничения опасности таких атак является четкое следование рекомендациям RFC 1918 и RFC 2827. RFC 1918 определяет сети, зарезервированные для частного пользования, которые никогда не должны связываться с общедоступной сетью Интернет. Фильтрация RFC 2827 описана в разделе "IP-спуфинг" Приложения В "Основы сетевой безопасности". Вы можете использовать RFC 1918 и RFC 2827 для фильтрации входящего трафика на маршрутизаторе, подключенном к Интернет, чтобы предотвратить проникновение несанкционированного трафика в корпоративную сеть. При использовании у Интернет-провайдера такая фильтрация не позволяет передавать по каналам WAN пакеты DDoS, использующие эти адреса в качестве источников, что в принципе должно защитить полосу пропускания в случае атаки. Если бы все Интернет-провайдеры мира следовали рекомендациям RFC 2827, угроза спуфинга исходных адресов потеряла бы свою остроту. Хотя подобная стратегия не дает стопроцентной защиты от атак типа DDoS, она не позволяет хакерам маскировать источник атаки, что значительно облегчает поиск атакующей сети.
Цель - приложения
Исходные коды приложений, как правило, пишутся людьми и поэтому неизбежно содержат ошибки.
Ошибки могут быть мелкими (например ошибки, возникающие при распечатке документов) или весьма неприятными (к примеру, в результате ошибки номер вашей кредитной карты, хранящийся в базе данных, может стать доступным по протоколу FTP для анонимного пользователя). На обнаружение ошибок второго типа, а также других слабостей более общего характера и нацелены системы обнаружения вторжений (intrusion detection system - IDS), которые действуют как системы предупреждения. Когда IDS обнаруживает что-то похожее на атаку, она может предпринять самостоятельные действия или уведомить систему управления, чтобы соответствующие действия мог предпринять сетевой администратор. Некоторые системы такого типа снабжаются более или менее эффективными средствами реагирования и отражения атак. Системы обнаружения атак, работающие на хостах (host-based IDS - HIDS), могут перехватывать вызовы операционных систем и приложений на отдельном хосте. Кроме того, они могут впоследствии проводить анализ локальных лог-файлов. Перехват позволяет лучше предотвращать атаки, а анализ представляет собой пассивное средство реагирования. Специфика хост-систем (HIDS) делает их более эффективными для предотвращения атак некоторых типов по сравнению с сетевыми системами NIDS (network IDS), которые обычно выдают сигнал тревоги только после обнаружения атаки. Однако та же специфика не дает хост-системам общесетевой перспективы, которой в полной мере обладают с?/p>