Руководство по технологиям объединенных сетей Cisco (953103), страница 158
Текст из файла (страница 158)
Внимание! Во многих системах имеются достаточно строгие механизмы аутентификации, однако они часто ие используются. Пароли Пароли часто являются первой линией обороны от хакерских атак. Пароли используются для аутентификации и авторизации пользователей. Атакующие часто опираются на тот факт, что пользователи назначают слишком простые пароли или используют олин и то же пароль на нескольких системах.
Системы генерируют пробные пароли (Ьазйез) основываясь на таких алгоритмах, как МЕГ5. Пользователь вводит пароль который затем используется для входа в систему. Этот пароль пользователи пытаются взломать. Слишком простые пароли легко могут быть взломаны с использованием различных средств взлома паролей. Эти средства используют два основных метода для взлома: метод грубой силы или метод словаря. В методе грубой силы используются произвольные комбинации букв, цифр и специальных символов для юнерации пробных паролей. В методе словаря для взлома паролей используется список слов для генерирования пробных паролей. При применении обоих методов пробный пароль сравнивается с паролем, сгенерированном системой.
Если сравнение дает положительный результат, то пароль оказывается взломанным. Анализаторы пакетов Анализаторы пакетов (Рас)гег зл1(тегз), также называемые сетевыми анализаторами (лети|ог1г зл!Йегз), представляют собой приложения, которые перехватывают пакеты, проходящие по кабелю. Внимание! Анализаторы способны перехватывать пакеты от всех устройств, находящихся в одном и том же широковещательном домене. Первоначально анализаторы пакетов применялись в основном для анализа потоков данных в сети с целью определения требований к полосе пропускания и обнаружения проблем в сети. Однако позднее хакерское сообщество разработало анализаторы пакетов, предназначенные для перехвата чувствительной информации, такой как пароли, с целью ее использования для получения несанкционированного доступа к системе. Эти анализаторы пакетов, как правило, перехватывают только пакеты сеансов, связанных с протоколами и приложениями, в которых требуется пароль (такими, как Те!пег, РТР, НТТР и РОР).
793 Глава 52. Технологии защиты сетей Уровень приложений При атаках на уровне приложений делается попытка воспользоваться уязвимыми местами в установленном в сети программном обеспечении. Типичным уязвимым состоянием в приложениях является переполнение буфера. Оно возникает при попытке сохранить в буфере больше данных, чем позволяет имеющееся в нем свободное место. Переполнение буфера обычно предоставляет атакующей стороне механизм выполнения опасного для системы кода с привилегиями уровня сетевого администратора или с привилегиями базового уровня.
Внимание! Технические детали процесса переполнения буфера подробно списаны в книге Алефа Ван (А!ерш Опе) "Згпав)з)пй Рпе 8(аск 1ог Рцп апб РгойГ, Вирусы, черви и "троянские кони" Вирусом называется скрытая, самодублирующаяся часть компьютерного программного обеспечения, обычно написанная с недоброжелательными целями, которая распространяется путем заражения (т.е. вставкой собственной копии) другой программы. Вирус не является самостоятельно работающей программой; для того, чтобы вирус активизировался, необходим запуск содержащей его программы. Вирусы обычно распространяются через приложения к электронным сообщениям (е-гпа)!), через документы текстовых процессоров и рабочие листы электронных таблиц.
Вирус внедряется в эти приложения и заражает систему когда пользователь выполняет соответствующее приложение. Примерами вирусов могут служить Ме1!зза, ВцяВеаг или К!еж Червем (ггопл) называется компьютерная программа, которая может работать самостоятельно или распространять свою полную рабочую версию (копию) на другие рабочие станции сети. Такая программа может разрушительным образом потреблять ресурсы компьютера.
Часто черви рассматриваются как разновидность вирусов. Например, производители антивирусных программ включают червей в свои вирусные базы данных. Примерами червей могут служть Х1 пг)а, Сог)ейед, $1аррег или $1ашгпег. "Троянским колем " (Тгтуал Ьогзе) называют компьютерную программу, которая выглядит как программа, выполняющая полезную функцию, но также имеет скрытую и потенциально опасную функцию, которая не обнаруживается механизмами безопасности.
Иногда для этого используется легальная авторизация системного элемента, который вызывает эту программу. Подделка! Р-адреса Атака, связанная с подделкой 1Р-адреса характеризуется тем, что хакер, находящийся в сети или вие ее, пьпается представить себя санкционированным пользователем. Он может сделать это одним из двух способов: использовать 1Р-адрес из диапазона внутренних легальных сетевых адресов или авторизованный внешний 1Р-адрес, с которого разрешен доступ к некоторым ресурсам системы.
Атака, связанная с подделкой 1Р-адреса, часто служит отправной точкой для атак иного типа. 794 Часть Ч))!. Управление сетями Атака типа "отказ в обслуживании" Атак типа "отказ в обслуживании" (Реп)а) о! Беги!се — Ооб) боятся более всего, поскольку простой сети означает потерю доходов. Целью атаки Роб является полное или частичное лишение легитимного пользователя возможности доступа к системным ресурсам. Простая форма Роз-атаки может быть осуществлена путем грубого взлома пароля, в результате чего становится возможной блокировка учетных записей пользователей.
Это легко может быть сделано с одной атакующей станции. Ров-атаки включают в себя рассылку большого количества нежелательных пакетов в атакуемую сеть с подделанного 1Р-адреса. Новая форма Ооб-атаки — распределенный отказ в обслуживании !01зспйшсед Репса! о! Беги!се — РРоо) появилась в 2000 году. ОдоБ-атака использует ресурсы различных систем при посредстве агентского программного обеспечения, управление которым осуществляется с ведущей системы. Это позволяет передавать в атакуемую сеть большее количество пакетов. Политика безопасности Политика безопасности определяет цели и способы обеспечения безопасности в сети. Она, как правило, включает в себя следующие аспекты: ° политика допустимого использования сети; ° политика использования паролей; ° политика пользования электронной почтой и выхода в 1псегпес; ° меры, предпринимаемые в случае инцидентов в сети; ° политика доступа к сети удаленных пользователей; е политика в сфере ехсгапес-соединений; ° политика использования общедоступных служб.
Политика допустимого использования сети (ассергаЫе иле ро!!су — АИР) определяет, какие действия пользователя в сети являются разрешенными и неразрешенными, Она также определяет ответственность авторизованных пользователей. Например, политика Ас)Р может предусматривать обязательное ежедневное выполнение антивирусной программы. Политика использования паролей определяет какие пароли являются надежными, частоту смены паролей и определение круга лиц, имеющих доступ к системным паролям. Например, политика использования паролей может требовать, чтобы пароль маршрутизатора состоял из 1О символов и менялся каждые три месяца, а также в каждом случае, когда системный администратор прекращает работать в компании.
Политика использования электронной почты и выхода в !пгепсег (е-тай апд !пгегпе! ро!!су — Е!Р) определяет каким пользователям предоставлено право пользования электронной почтой и право выхода в!псегпес. Например, политика Е1Р мспкет предусматривать, что электронная почта может использоваться только для коммерческих целей, а доступ к 1псегпес ограничен рабочими местами сотрудников, которым это необходимо для выполнения служебных обязанностей. Процедуры повеления в ситуациях угрозы безопасности сети и соответствующие предпринимаемые меры определяют, что должны делать сотрудники компании в случае инцидентов в сети, таких как заражение вирусом или попытка несанкциониро- 795 Глава 52.
Технологии защиты сетей ванного доступа к сети. Процедуры поведения в случае попытки несанкционированного доступа к сети определяют к кому и каким образом следует обращаться, если обнаруживается такая попытка. Политика доступа к сети удаленных пользователей (гетоге изег ассы ройсу — КАР) определяет, каким образом сотрудники компании получают доступ к корпоративной сети компании из небезопасной сети, такой, например, как сеть 1псегпес-провайдера.
Политика ВАР может, например, потребовать, чтобы для получения доступа с домашнего компьютера к корпоративной сети или к сетевым ресурсам каждый удаленный пользователь использовал клиентское программное обеспечение виртуальных частных сетей (Ч!пца! Рпчасе )чсестог!с — ЧР!чс) и одноразовые пароли (опе-сппе раззвопс — ОТР). Политика в сфере ехсгапег-соединений (езагапег соппесгаоп ройсу — ЕСР) определяет каким образом создаются соединения с бизнес-партнерами.
Политика ЕСР может, например, определять, что партнерам разрешено осуществлять соединение с корпоративным сайтом только путем создания между сайтами ЧР!ч(-туннеля с использованием стандарта тройного шифрования данных (Тпр!е Овса Епсгурсюп бсапдап1 — ЗОЕБ). Политика допустимого использования обгнедоступных слулсб (айокеч) риЫ!с тгист ройсу — АРР) определяет, какие сетевые службы являются доступными из 1лсегпес.
Как правило общедоступными службами являются ГТР, БМТР, НТТР и 1)!ч!Б. Политика АРР может предусматривать, что служба О)ч(Б доступна только базовым О)ч!Б-серверам. Поэтапное решение задачи обеспечения безопасности Традиционное решение проблемы обеспечения безопасности является точечным решснием или решением для одного устройства. Принцип такой защиты формулируется следующим образом: "Необходимо обеспечить безопасность сети или установить брандмауэр, что решает проблему зашита сети".
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
