Security (1027395), страница 14
Текст из файла (страница 14)
Прежде чем установитьмодуль или новую версию в производственную среду, тщательно протестируйте их в испытательной среде. Если этого не сделать, новый модуль может привести к отказу в обслуживании (denial of service — DoS).ñÂθ — ÒÂÚ¸Самая ужасная атака — та, которую вы не можете остановить. При тщательной подготовке и исполненииименно такой является атака типа «распределенный отказ в обслуживании» (distributed denial of service —DDoS). Как показано в Приложении В «Основы сетевой безопасности», эта атака заставляет десятки илидаже сотни машин одновременно отправлять ненужные данные на определенный IP-адрес. Цель атакисостоит в том, чтобы не просто «повесить» отдельный хост, а прекратить функционирование целой сети.Представьте себе организацию с каналом доступа DS3 (45 Мбит/с), которая предоставляет услуги электронной коммерции пользователям своего web-сайта. Этот сайт хорошо защищен от самых разных атак.Он имеет систему обнаружения атак, межсетевые экраны, систему авторизации доступа и средства ак-31тивного мониторинга.
К сожалению, все эти средства не могут защитить от хорошо подготовленной атаки типа DDoS.Представьте себе сто устройств, находящихся в разных уголках мира. Каждое из них имеет канал доступа DS1 (1,5 Мбит/с). Если этим системам в удаленном режиме дать соответствующую команду, они легко и просто заполнят канал DS3 ненужной информацией.
Даже если каждый хост может сгенерироватьтрафик объемом 1 Мбит/с (а лабораторные испытания показали, что при наличии специального средства DDoS обычная рабочая станция Unix может легко сгенерировать и 50 Мбит/с), это более чем в два раза перекроет полосу пропускания атакуемого сайта.
В результате сайт не сможет реагировать на реальные запросы и с точки зрения пользователей будет неработоспособным. Разумеется, местный межсетевой экран отфильтрует ложные данные, но будет поздно. Ущерб уже будет нанесен. Трафик пройдет поканалу связи с территориальной сетью и заполнит весь канал до предела.Компания может надеяться на отражение таких атак только с помощью Интернет-провайдера.
Провайдер может определить максимально допустимые границы для трафика, передаваемого на корпоративныйсайт. При достижении пороговой величины нежелательный трафик будет отбраковываться. Главноездесь — правильно пометить трафик как нежелательный.Обычно атаки типа DDoS проводятся в форме переполнения ICMP, переполнения TCP SYN или переполнения UDP. В среде электронной коммерции этот тип трафика очень легко категоризировать.
Только в случаеограничения атаки TCP SYN на порту 80 (http) администратор рискует блокировать санкционированныхпользователей. И даже в этом случае лучше временно блокировать несколько пользователей и сохранитьмаршрутизацию и каналы управления, чем «повесить» маршрутизатор и потерять все соединения.Более изощренные хакеры используют атаки через порт 80 с установленным битом АСК таким образом,что трафик выглядит как обычный результат web-транзакций. Администратор вряд ли сможет правильно распознать такую атаку, поскольку используемый ею трафик ТСР носит точно такой же характер, чтои обычный трафик, который необходимо пропускать в сеть.32Одним из способов ограничения опасности таких атак является четкое следование рекомендациям RFC1918 и RFC 2827.
RFC 1918 определяет сети, зарезервированные для частного пользования, которые никогда не должны связываться с общедоступной сетью Интернет. Фильтрация RFC 2827 описана в разделе «IP-спуфинг» Приложения В «Основы сетевой безопасности». Вы можете использовать RFC 1918 иRFC 2827 для фильтрации входящего трафика на маршрутизаторе, подключенном к Интернет, чтобыпредотвратить проникновение несанкционированного трафика в корпоративную сеть. При использовании у Интернет-провайдера такая фильтрация не позволяет передавать по каналам WAN пакеты DDoS,использующие эти адреса в качестве источников, что в принципе должно защитить полосу пропусканияв случае атаки.
Если бы все Интернет-провайдеры мира следовали рекомендациям RFC 2827, угроза спуфинга исходных адресов потеряла бы свою остроту. Хотя подобная стратегия не дает стопроцентной защиты от атак типа DDoS, она не позволяет хакерам маскировать источник атаки, что значительно облегчает поиск атакующей сети.ñÂθ — ÔËÎÓÊÂÌËflИсходные коды приложений, как правило, пишутся людьми и поэтому неизбежно содержат ошибки.Ошибки могут быть мелкими (например ошибки, возникающие при распечатке документов) или весьманеприятными (к примеру, в результате ошибки номер вашей кредитной карты, хранящийся в базе данных, может стать доступным по протоколу FTP для анонимного пользователя).
На обнаружение ошибоквторого типа, а также других слабостей более общего характера и нацелены системы обнаружения вторжений (intrusion detection system — IDS), которые действуют как системы предупреждения. Когда IDS обнаруживает что-то похожее на атаку, она может предпринять самостоятельные действия или уведомитьсистему управления, чтобы соответствующие действия мог предпринять сетевой администратор. Некоторые системы такого типа снабжаются более или менее эффективными средствами реагирования и отражения атак. Системы обнаружения атак, работающие на хостах (host-based IDS — HIDS), могут перехватывать вызовы операционных систем и приложений на отдельном хосте.
Кроме того, они могут впоследствии проводить анализ локальных лог-файлов. Перехват позволяет лучше предотвращать атаки, аанализ представляет собой пассивное средство реагирования. Специфика хост-систем (HIDS) делает ихболее эффективными для предотвращения атак некоторых типов по сравнению с сетевыми системамиNIDS (network IDS), которые обычно выдают сигнал тревоги только после обнаружения атаки.
Однако таже специфика не дает хост-системам общесетевой перспективы, которой в полной мере обладают системы NIDS. Поэтому Cisco рекомендует сочетать системы обоих типов и размещать HIDS на критическиважных хостах, а NIDS — для наблюдения за всей сетью. В результате такого сочетания возникает полномасштабная система обнаружения атак.После установки системы необходимо настроить ее, чтобы повысить эффективность и сократить числоложных срабатываний. Под ложным срабатыванием понимается сигнал тревоги, вызванный не атакой, аобычным трафиком или обычной деятельностью.
Отрицательным срабатыванием называется случай,когда система не обнаруживает настоящей атаки. После настройки системы IDS вы можете точно сконфигурировать ее для конкретных действий по ликвидации угроз. Как уже отмечалось, нужно нацеливатьHIDS на ликвидацию наиболее опасных угроз на уровне хоста, потому что именно здесь HIDS может работать с наибольшей эффективностью.Определяя роль системы NIDS, вы можете выбрать один из двух основных вариантов.Первый вариант (и потенциально — в случае неправильного внедрения — наиболее опасный) — это «отрубание» трафика с помощью фильтров управления доступом, установленных на маршрутизаторах. Если система NIDS обнаруживает атаку, источником которой является какой-либо хост, она блокирует этотхост, не давая ему возможности на определенное время связываться с данной сетью. На первый взглядэтот способ кажется очень удобным и хорошо помогает администратору безопасности, однако в действительности прибегать к нему следует с большой осторожностью, а, возможно, и не прибегать вовсе.Первая проблема состоит в том, что хакер может пользоваться чужими адресами.
Если система NIDS решает, что атака идет с определенного устройства, и «отрубает» это устройство, оно теряет права доступак вашей сети. Однако, если хакер пользуется чужим адресом, NIDS блокирует адрес, хозяин которого никогда не планировал никаких атак. Если для атаки хакер использовал IP-адрес мощного прокси-сервераHTTP, вы блокируете множество ни в чем не повинных пользователей. В руках творчески настроенногохакера этот механизм сам по себе может стать удобным инструментом для атаки типа DoS.Для смягчения описанного выше риска метод «отрубания» нужно использовать только для трафика ТСР,но там, где спуфинг адресов осуществить гораздо труднее, чем в области UDP.
Пользуйтесь этим методомтолько в случае реальной угрозы и при минимальной вероятности ложного срабатывания. Однако в пределах одной сети существует гораздо больше вариантов. Эффективное внедрение фильтрации RFC 2827может значительно ограничить объем трафика, поступающего с чужих адресов. Кроме того, поскольку заказчики обычно не включаются в состав внутренней сети, вы можете предпринять более жесткие мерыпротив атак, исходящих из внутрикорпоративных источников. Еще одна причина для более жестких внутренних мер состоит в том, что внутренние сети, как правило, не имеют таких мощных средств фильтрации с учетом состояния соединений (stateful filtering), которые обычно используются на границе сети.
Поэтому во внутренней сети вам следует более серьезно полагаться на систему IDS, чем во внешней среде.Вторым вариантом для NIDS является сокращение угроз за счет использования сброса TCP (TCP reset).Как видно из названия этого метода, он используется только для трафика ТСР. Прекращение атаки производится отправлением сообщений «TCP reset» на атакующий и атакуемый хост. Поскольку трафикТСР хуже поддается спуфингу, этот метод является более предпочтительным, чем метод грубого «отрубания» адресов.Этот метод чувствителен к производительности. Система NIDS отслеживает передаваемые пакеты. Еслискорость передачи пакетов превосходит возможности NIDS, снижения производительности в сети непроисходит, так как NIDS не находится на пути потоков данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
