 |
Распространенные атаки
|
|
|
|
Перехват данных
Как следует из названия, эта атака в случае удачной реализации приводит к утечке данных. Особенно чувствителен перехват таких данных, как имена пользователей и пароли.
К сожалению, многие существующие сетевые технологии (Ethernet, WiFi) не позволяют исключить такую угрозу. Для предотвращения утечки передачу данных в сети ограничивают (установкой коммутаторов, настройкой различных видов виртуальных сетей) или выполняют шифрование данных (стандарты WiFi предусматривают шифрование на MAC-уровне).
2. Отказ в обслуживании (DOS, англ. Denial o f S ervice)
В этом случае объектом атаки становится сама возможность выполнения операций над информацией — за счет исчерпания ресурсов (памяти, процессорного времени, пропускной способности каналов, логических обозначений и т.д.).
Примером такой атаки может служить атака SYN-flood (“замусоривание” SYN-пакетами), суть которой — отправка большого количества запросов на установку соединения. Когда возможности системы исчерпаны (если защитные меры не были приняты), возникают, как минимум, серьезные задержки в обслуживании клиентов.
С ростом пропускной способности каналов и совершенствованием систем защиты атаки этого типа организуют в распределенной форме, т.е. одновременно из нескольких узлов сети (Distributed Denial of Service — “распределенный отказ обслуживания”).
Переполнение буфера
В большом количестве программ для разных целей используются буферы — области памяти, накапливающие данные. Некорректная обработка приходящих данных в подобных структурах позволяет выполнить запись данных в чужие области памяти. За счет этого может быть нарушена целостность данных, начато выполнение вредоносного кода или прервана работа.
|
|
|
Подбор пароля
Пароли — одно из самых популярных средств разграничения доступа и определения наличия каких-то полномочий. При отсутствии средств защиты и/или использовании простых и предсказуемых паролей может быть выполнен их подбор.
Получение пароля очевидным образом приводит к возможности несанкционированного доступа на выполнение тех или иных операций.
Внедрение исполняемых фрагментов
Одним из наиболее частых способов организации современных средств коллективной работы в сетях является создание различных web-приложений на основе специфических языков сценариев. Поскольку все они обрабатывают получаемые от клиента данные, злоумышленник может передать в качестве входящих данных фрагмент такого сценария, который будет выполнен от имени системы.
Для борьбы с атаками такого рода организуют проверку входящих данных в приложениях, ограничивают возможности манипуляции данными из них и, наконец, фильтруют данные с помощью брандмауэров до того, как они попадают на обработку в приложение.
Межсайтовые сценарии
Атаки подобного типа также используют web-приложения, но передают код, предназначенный для выполнения на стороне клиента. Само приложение в этом случае используется только как хранилище элементов кода в виде сообщений. Сообщение пишется злоумышленником так, чтобы при отображении в программе-браузере его часть была проинтерпретирована как сценарий.
Для защиты от таких атак используют персональные брандмауэры, антивирусные средства, своевременно обновляют программное обеспечение и проводят проверку самих web-приложений.
Социальная инженерия (фишинг)
Атаки этого типа направлены не столько на уязвимости программного обеспечения, сколько на использование доверия и недостаточных знаний людей, работающих со средствами информационных технологий.
|
|
|
К таким атакам относят получение несанкционированного доступа с помощью обмана операторов, выманивание денег различными просьбами, извлечение данных из опубликованных (или просто выброшенных) источников, подбрасывание и подсовывание вредоносных программ и т.п.
Примером такой атаки могут служить так называемые “почтовые” вирусы. С зараженной машины этот вирус рассылает письма по адресам из адресной книги, прикладывая к ним свой код. Для маскировки коду придается завлекательное название (отраженное и в теме письма), а собственно расширение пишется после большого количества пробелов, чтобы скрыть характер вложения от неопытного пользователя.
Это один из наиболее опасных методов, от которого чрезвычайно трудно защититься с помощью технических мер. Единственный способ борьбы с такими атаками — обучение пользователей.
Следует отметить, что в подавляющем большинстве случаев компьютер пользователя подвергается атакам не “целевым” образом, а в числе большого количества узлов, которые программы злоумышленников (или пораженные машины) автоматически атакуют, перебирая все доступные им адреса. Таким образом, защищать приходится практически все машины, активно работающие в сети.
Межсетевые экраны
Программы, выполняющие фильтрацию пакетов на основе служебных данных сетевого и транспортного уровня, называются брандмауэрами (они же — файрволы, от англ. Firewall — “огненная стена”, “огнеупор”, межсетевые экраны). Брандмауэрами также называют специализированные узлы сетей, обеспечивающие с помощью таких средств взаимодействие между защищаемой сетью и всеми остальными.
Исходным основным компонентом брандмауэров являются пакетные фильтры — программные средства, разрешающие или запрещающие обработку пакетов данных при отправке или получении из сети. Современные пакетные фильтры используют для фильтрации данные основных протоколов сети Интернет — IP, TCP и UDP.
Фильтрация данных брандмауэрами осуществляется на основе правил, оговаривающих параметры пакетов. Правила могут быть разрешающими и запрещающими.
Современные брандмауэры — сложные и многофункциональные комплексы программ, задача которых — обеспечение безопасного взаимодействия сетей. Они содержат несколько компонентов, но основным до сих пор является пакетный фильтр.
|
|
|
Кроме пакетного фильтра, в состав современных брандмауэров часто входят:
— прокси-сервер (Proxy) — это программа-посредник, обрабатывающая запросы на прикладном уровне, в рамках конкретного протокола; например, HTTP. Применение таких программ позволяет фильтровать пакеты на основе их содержания, контролировать доступ к определенным ресурсам;
— средства организации Virtual Private Network (VPN); этот компонент брандмауэров позволяет пользователям, работающим удаленно (через небезопасные каналы), установить защищенное (шифрованием) соединение с внутренней сетью;
— элементы систем обнаружения атак;
— средства протоколирования обрабатываемых данных;
— средства фильтрации и проверки исходящих данных (применяются для предотвращения утечек существенных данных).
Для защиты отдельных узлов сети (как правило, личных компьютеров) применяют персональные брандмауэры. В отличие от брандмауэров, разграничивающих именно сети, эти программы выполняют защиту отдельного узла.
Как правило, программы такого класса выполняют следующие основные задачи:
1. Контролируют обращения от “внешних” адресов к локальной машине. Неразрешенные правилами соединения отбрасываются.
2. Контролируют обращения отдельных программ к сети. Программе может быть запрещена отправка данных.
3. Контролируют содержимое входящих данных, руководствуясь протоколом передачи. Это позволяет блокировать прием и передачу нежелательного содержимого (например, рекламы).
4. Дополнительно такие программы могут обеспечивать взаимодействие с сетями по защищенному (шифрованному) каналу.
Помимо этих функций, современные персональные брандмауэры выполняют функции кэширования некоторых видов запросов (DNS), фильтрацию рекламного и вредоносного содержимого (в частности, внедренного в web-страницы), защиту электронной почты от активных вложений.
Персональный брандмауэр — необходимый компонент любого компьютера, работающего с глобальными сетями. Тот или иной продукт этого типа входит в комплект любой пользовательской операционной системы.
Примеры программных продуктов:
Agnitum Outpost, Symantec Firewall, ZoneAlarm
|
|
|
