Автор работы: Пользователь скрыл имя, 23 Января 2011 в 23:56, реферат
Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости установки сетевого оборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из них состоит в незащищенности передаваемой информации. Компьютеры, подключенные к сети Ethernet, в состоянии перехватывать информацию, адресованную своим соседям. Причиной тому является принятый в сетях Ethernet так называемый широковещательный механизм обмена сообщениями.
Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.
В ОС Microsoft Windows содержится сетевой монитор (Network Monitor), однако он содержит серьезные уязвимости, о которых я расскажу ниже.
Рис. 1. Сетевой
монитор ОС WINDOWS класса NT.
Интерфейс программы
сложноват для освоения «на лету».
Рис. 2. Просмотр
кадров в сетевом мониторе WINDOWS.
Большинство
производителей в настоящее время
стремятся сделать в своих
мониторах простой и удобный
интерфейс. Еще один пример – монитор
NetPeeker (не так богат доп. Возможностями,
но всё же):
Рис. 3. Дружественный интерфейс монитора NetPeeker.
Приведу пример интерфейса сложной и дорогой программы NetForensics (95000$):
Рис.4. Интерфейс
NetForensics.
Существует
некий обязательный набор «умений»,
которым мониторы обязательно должны
обладать, согласно тенденциям сегодняшнего
дня:
Примеры конкретных атак, которые могут распознавать сетевые мониторы:
"Отказ в обслуживании" (Denial of service). Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.
"Предварительные
действия перед
атакой" (Pre-attack probe)
Любое действие или последовательность
действий по получению информации ИЗ или
О сети (например, имена и пароли пользователей),
используемые в дальнейшем для осуществления
неавторизованного доступа. Примером
может служить сканирование портов (Port
scan), сканирование при помощи программы
SATAN (SATAN scan) и т.п.
"Подозрительная
активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения
"стандартного" трафика. Может указывать
на подозрительные действия, осуществляемые
в сети. Примером могут служить события
Duplicate IP Address, IP Unknown Protocol и т.п.
"Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
1.3 ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ
Применение
сетевых мониторов также таит
в себе потенциальную опасность.
Хотя бы потому, что через них
проходит огромное количество информации,
в том числе и
Внешние
атаки куда более опасны, так как,
как правило, вычислить злоумышленника
очень и очень сложно. Для защиты
в этом случае необходимо использовать
на мониторе парольную защиту. Если
драйвер сетевого монитора установлен,
а пароль не задан, то любой, кто использует
на другом компьютере сетевой монитор
из той же поставки (та же программа),
может присоединиться к первому
компьютеру и использовать его для
перехвата данных в сети. Кроме
того, сетевой монитор должен обеспечивать
возможность обнаружения других
инсталляций в локальном
Хакеры и прочие злоумышленники не теряют времени даром. Они постоянно ищут все новые и новые способы вывода из строя сетевых мониторов. Оказывается, способов много, начиная от вывода монитора из строя переполнением его буфера, заканчивая тем, что можно заставить монитор выполнить любую команду, посланную злоумышленником.
Существуют специальные лаборатории, анализирующие безопасность ПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольно часто. Примеры реальных брешей в реальных продуктах:
1. RealSecure - коммерческая Система Обнаружения Вторжения (IDS) от ISS.
RealSecure
ведет себя нестабильно при
обработке некоторых DHCP сигнатур
(DHCP_ACK - 7131, DHCP_Discover - 7132, и DHCP_REQUEST - 7133),
поставляемых с системой. Посылая
злонамеренный DHCP трафик, уязвимость
позволяет удаленному
2. Программа: RealSecure 4.9 network-monitor
Опасность: Высокая; наличие эксплоита: Нет.
Описание: Несколько уязвимостей обнаружено в RS. Удаленный пользователь может определить местоположение устройства. Удаленный пользователь может также определить и изменить конфигурацию устройства.
Решение:
Установите обновленную версию программы.
Обратитесь к производителю.
1.4 АНАЛИЗАТОРЫ ПРОТОКОЛОВ, ИХ ДОСТОИНСТВА, ОПАСНОСТИ И МЕТОДЫ ЗАЩИТЫ ОТ ОПАСНОСТЕЙ
Анализаторы протоколов являются отдельным классом программного обеспечения, хотя они, по сути, есть часть сетевых мониторов. В каждый монитор встроено как минимум несколько анализаторов протоколов. Зачем же тогда их применять, если можно реализовать более достойную систему на сетевых мониторах? Во-первых, устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко не каждая организация может позволить себе приобрести его за тысячи долларов. Иногда встает вопрос о том, не будет ли монитор сам по себе дороже той информации, защиту которой он призван обеспечить? Вот в таких (или подобных) случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа с ролью мониторов.
Сетевой адаптер каждого компьютера в сети Ethernet, как правило, "слышит" все, о чем "толкуют" между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции (так называемые кадры) данных, которые содержат уникальный адрес, присвоенный ему в сети. В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом беспорядочным (promiscuous), при использовании которого адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных. Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов.
Последние
широко применяются администраторами
сетей для осуществления
Надо отметить, что анализаторы протоколов представляют серьезную опасность. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и делом рук "доморощенного" злоумышленника, имеющего легальный доступ к сети. В любом случае, к сложившейся ситуации следует отнестись со всей серьезностью. Специалисты в области компьютерной безопасности относят атаки на компьютеры при помощи анализаторов протоколов к так называемым атакам второго уровня. Это означает, что компьютерный взломщик уже сумел проникнуть сквозь защитные барьеры сети и теперь стремится развить свой успех. При помощи анализатора протоколов он может попытаться перехватить регистрационные имена и пароли пользователей, их секретные финансовые данные (например, номера кредитных карточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея в своем распоряжении достаточные ресурсы, компьютерный взломщик в принципе может перехватывать всю информацию, передаваемую по сети.
Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов подвергают анализу не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может быть инсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевого трафика, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.
Наиболее
частыми целями атак компьютерных взломщиков,
которые те осуществляют посредством
использования анализаторов протоколов,
являются университеты. Хотя бы из-за огромного
количества различных регистрационных
имен и паролей, которые могут
быть украдены в ходе такой атаки.
Использование анализатора