Сетевые сканеры и защита от них автор: Мурадян Тигран Содержание

Вид материала

Реферат

Содержание 6) Заключение Как обезопасить себя от прослушивания сети? Меры безопасности

Подобный материал:

• Тема урока: «Сетевые черви и защита от них», 129.96kb.
• Шаг 1, 80.39kb.
• Мирзоев Тигран Мирзоевич 1 категория 2006 год 3 Мультимедийная презентация, 17.04kb.
• Вот и настал долгожданный день официального анонса новой операционной системы от Microsoft, 158.35kb.
• Сетевые подключения, 34.41kb.
• Семинару аспирантов по теме «Сетевые организации», 35.75kb.
• Принципы организации антивирусной защиты в ос linux. Недостатки существующих средств, 79.93kb.
• Содержание рабочей программы преподавания дисциплины, 280.37kb.
• Содержание основная деятельность, 864.18kb.
• Тематическое планирование Литература 6 класс ( 34 часа, из них 3 часа рр, 4 часа внекл, 334.17kb.

По спецификации TCP не оговаривается передача данных именно после установления соединения, чтобы клиент отправлял данные в 1-ом SYN пакете, а сервер считал данные из этого SYN пакета. Т.е. таким образом, мы можем произвести идентификацию (проверка доступности пользователю данного ресурса) клиента. В случае если клиент не прошел идентификацию - не верная строка или вообще данные отсутствуют, то сервер должен послать ему RST. При таком раскладе, простой порт сканер не сможет определить реально открытый порт, а специально подкрученный сканер уязвимостей не сможет пройти идентификацию - что позволит нам сохранить невидимость. Для улучшения системы защиты нашего порта можно добавить еще и аутентификацию (проверка пользователя на соответствие). Т.е., предположим, соединение осуществляется только при условии, что строка идентифицирована. Для аутентификации клиента можно использовать криптографию с открытым ключом. У клиента находится секретный ключ, которым он зашифровывает строку для идентификации и некоторую случайную последовательность. Получившуюся строку отправляем серверу вместе со случайной последовательностью. На стороне сервера находится публичный ключ (ну не будем же мы в тылу врага оставлять секретный ключ) которым происходит расшифровка строки, которая затем разбивается для проверки с внутренней строкой и полученной случайной последовательностью. Таким образом, мы снижаем вероятность обнаружения нашего трояна - даже если появится специализированный сканер (хотя в при условии применения криптографии это сделать затруднительно) нашего руткита, да и в трафике не будет видно реальной строки для идентификации. В принципе, можно вообще весь трафик между клиентом и сервером шифровать.

Итак, при соответствующем уровне "невидимости" нашего руткита на хосте-жертве (сокрытие процессов, открытых портов и т.п.) - путем сокрытия порта мы можем повысить его прозрачность и для постороннего взгляда извне - получаем практически пожизненный шел (пока кому-нить не вздумается переставить систему), или нас не выдаст какой-нибудь IDS, обнаруживший подозрительный трафик на неизвестный порт с условием того что он еще и закрыт.

6) Заключение

В течение работы над этим проектом я прочел достаточное количество литературы, чтобы предложить способы защиты для нашей корпоративной сети от посягательств как из глобальной сети Интернет, так и из локальной сети.

Как обезопасить себя от прослушивания сети?
Поскольку прослушивание сети в лучшем случае может вызвать раздражение, то очень важно выявлять все попытки таких действий. Например, в зависимости от принятой в организации политики обеспечения безопасности можно также заблокировать прохождение пакетов, передаваемых при ping-прослушивании.
Выявление факта прослушивания:
ICMP- и TCP-прослушивание является общепринятым методом исследования сети перед непосредственной попыткой проникновения в сеть. Поэтому выявление факта прослушивания очень важно с точки зрения возможности получения информации о потенциальном месте пронкновения и источнике угрозы. Один из основных методов выявления прослушивания состоит в использовании сетевой прораммы выявления вторжений, такой как NFR (Network Fight Recorder), или программы, установленной на исследуемом взломщиком узле. Что касается защиты на уровне отдельного узла, для этого можно с успехом применять утилиты UNIX, которые позволяют выявлять и регистрировать попытки прослушивания. Если, просматривая файл журнала, созданный такой утилитой, вы обнаружите ICMP-запросы ECHO, исходящие из одной и той же сети или от одного и того же узла, это, скорее всего, означает, что вас прослушивают. К сожалению, найти аналогичные утилиты в среде Windows достаточно сложно. Одним из немногих пакетов, заслуживающих внимания, является Genius 3.1. Эта прорамма не позволяет регистрировать попытки прослушивания, но она успешно обнаруживает их.

Меры безопасности
Во-первых, рекомендуется очень внимательно оценить насколько важен для данной организации обмен данными по протоколу ICMP между узлами корпоративной сети и Internet. В большинстве нет никакой необходимости разрешать обмен данными между узлами сети Internet и пользователями. Даже если нельзя полностью заблокировать протокол ICMP, обязательно нужно заблокировать те типы сообщений, которые не нужны для работы. Разрешив неограниченный доступ протокола ICMP во внутреннюю сеть, тем самым мы даём возможность взломщику реализовать нападение типа DoS. Вобщем, одним из самых лучших методов защиты является блокирование ICMP-запросов тех типов, которые способствуют разглашению информации о сети за её пределами. Как минимум на пограничном маршрутизаторе необходимо заблокировать прохождение во внутреннюю сеть пакетов TIMESTAMP(тип - 13) и ADDRESS MASK(тип - 17). Например, если в качестве пограничного маршрутизатора используется маршрутизатор Cisco, запретите ему отвечать на указанные запросы, добавив следующие строки в список управления доступом.

access-list 101 deny icmp any any 13 ! timedtamp request
access-list 101 deny icmp any any 17 ! address mask request

C помощью ICMP- или TCP-прослушивания взломщик может установить, какие компьютеры исследуемой сети подключены к Internet. Обслуживающие порты могут находиться в состоянии ожидмния запроса или в работающем состоянии. Определение портов, находящихся в состоянии ожидания запроса, - этап, имеющий определяющее для взломщика значение для последующего выяснения типа используемой ОС, а так же работающих на компьютере прикладных программ. Активные службы, находящееся в состоянии ожидании, могут предостовить взломщику возможность получить несанкционированный доступ. Это чаще происходит в том случае, если система безопасности не настроена должным образом или в программном обеспечении имеются хорошё извечтные изъяны.

За последние несколько лет средства сканирования портов были значительно усовершенствованы, так что нужно быть осторожным и всеми силами пытаться обезопасить себя от сканирования.