Security (1027395), страница 36
Текст из файла (страница 36)
Один из них заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем. Дополнительную информацию можно получить по адресу http://www.l0phtcrack.com/ÄÚ‡ÍË ÚËÔ‡ Man-in-the-MiddleДля атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера.
Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущейсессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информациио сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии.
Еслихакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.ÄÚ‡ÍË Ì‡ ÛÓ‚Ì ÔËÎÓÊÂÌËÈАтаки на уровне приложений могут проводиться несколькими способами. Самый распространенный изних состоит в использовании хорошо известных слабостей серверного программного обеспечения(sendmail, HTTP, FTP).
Используя эти слабости, хакеры могут получить доступ к компьютеру от именипользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложенийшироко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей).
К сожалению, многие хакеры также имеют доступ к этим сведениям, чтопозволяет им учиться.Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляетпользователям web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точкизрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернет все новые уязвимые места прикладных программ. Самое главное здесь — хорошеесистемное администрирование.
Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:●●●●●Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощьюспециальных аналитических приложений.Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ:Bugtrad (http://www.securityfocus.com) и CERT (http://www.cert.com)Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последнимикоррекционными модулями (патчами).Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS).
Существуют две взаимодополняющие друг друга технологии IDS:o сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;o хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система боретсятолько с атаками против одного хоста.В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профиликонкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским.
Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является ее способность генерировать сигналы тревоги.Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.ëÂÚ‚‡fl ‡Á‚‰͇Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (pingsweep) и сканирования портов.
Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощьюDNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этимихостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответна периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования.
Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповеститьпровайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.áÎÓÛÔÓÚ·ÎÂÌË ‰Ó‚ÂËÂÏСобственно говоря, этот тип действий не является «атакой» или «штурмом».
Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такогозлоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часторасполагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевогоэкрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случаевзлома внешней системы хакер может использовать отношения доверия для проникновения в систему,защищенную межсетевым экраном.Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети.
Системы, расположенные с внешней стороны межсетевого экрана, никогда не должныпользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения довериядолжны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.93臉ÂÒ‡ˆËfl ÔÓÚÓ‚Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае былбы обязательно отбракован.
Представим себе межсетевой экран с тремя интерфейсами, к каждому изкоторых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа(DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступаможет подключаться и к внутреннему, и к внешнему хосту.
Если хакер захватит хост общего доступа, онсможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо навнутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хоств результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.orgОсновным способом борьбы с переадресацией портов является использование надежных моделей доверия (см.
предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).çÂÒ‡Ì͈ËÓÌËÓ‚‡ÌÌ˚È ‰ÓÒÚÛÔНесанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атакпроводятся ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, хакер должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экранепоявляется сообщение «authorization required to use this resource» (для пользования этим ресурсом нужна авторизация).
Если после этого хакер продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту Telnet на сервере, который предоставляет web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать.
Чтоже касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.ÇËÛÒ˚ Ë ÔËÎÓÊÂÌËfl ÚËÔ‡ «ÚÓflÌÒÍËÈ ÍÓ̸»94Рабочие станции конечных пользователей очень уязвимы для вирусов и «троянских коней». Вирусаминазываются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе системWindows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.«Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
