Системы обнаружения сетевых атак рабочая программа. Обнаружение хакерских атак на ваш компьютер

О предотвращении и обнаружении вторжений

Прошли те времена, когда вирус был просто вирусом, а все остальное было "тем что надо"! Сейчас же все не совсем так. Наиболее известная опасность - это программы под общим названием «вредоносные программы» (Malware). Такие программы постоянно развиваются и представляет собой серьезную угрозу вашей безопасности.

В дополнение к уже привычным модулям работы с файлами, реестром и приложениями, Malware Defender также включает в себя модуль мониторинга сети, включающий в себя возможность так же просматривать все соединения. Это делает его идеальным компаньоном для тех, кто использует стандартный брендмауэр Windows, и не хочет углубляться в мир брендмауэров и защиты сети.

Несмотря на то, что данная программа имеет большое количество плюсов, все же ее сложность использования для обычного пользователя - делает ее определенно не масштабной. Конечно, ошибки могут быть исправлены путем обратного изменения правил разрешения, правда если вы не запретили жизненно важные функции системы, тогда есть вероятность, что вернуться назад будет не так уж просто.

Программа предотвращения вторжения WinPatrol мощный инструмент для всех пользователей

помогает защитить компьютеры всех стран уже более десяти лет. У данной программы множество поклонников. Недавно она была обновлена для большей совместимости с Windows Vista/7. Главной целью программы является предупреждение пользователя о внесении изменений в систему, которые могут быть последствием работы вредоносных программ. Для того чтобы достигнуть цели, она делает моментальный снимок настроек системы. И в случае любых изменений оповещает пользователя. WinPatrol в своей работе использует эвристический подход, который дает больше уверенности в том, что у вас не появится новых вредоносных программ, нежели традиционные сигнатурные сканеры, которые сильно зависят от наличия обновлений.

WinPatrol предупредит вас о любых новых изменениях, которые пытаются произвести программы. Можно сказать, что WinPatrol является достаточно эффективным средством по борьбе с целым рядом вредоносных программ, таких как: черви, троянские программы, программы, модифицирующие cookie, рекламное и шпионское ПО. Множество возможностей настройки системы (такие как " ", "задания" и т.д.), которые раскиданы в ней же, продублированы в интерфейсе WinPatrol, что позволяет быстро и удобно отслеживать состояние системы. Также вы можете использовать WinPatrol для фильтрации нежелательных cookie и IE-дополнений.

По состоянию на V19.0, WinPatrol стал "облачным решением". Большая часть дополнительной функциональности доступна только пользователям платной версии Plus. Сообщество пользователей WinPatrol позволяет рассчитывать на хорошую обратную связь при возникновении проблем. При чем, все решения рассмотренных проблем доступны как пользователям бесплатной версии, так и платной.

Программа предотвращения вторжения MJ Registry Watcher мониторинг реестра и файловой системы

еще одна утилита, о которой, может быть, знает не так уж много людей, но которая является достаточно неплохой. Это достаточно простая программа по отслеживанию реестра, файлов и директорий, которая гарантирует безопасность наиболее важных мест вашей системы. Она потребляет очень мало ресурсов систем. Метод действия очень простой. Каждые 30 секунд программа опрашивает систему. Если необходимо, то время опроса можно изменить. Все настройки утилиты хранятся в конфигурационном файле, что очень удобно, когда вам необходимо иметь возможность быстро настроить утилиту "под себя". MJ Registry Watcher не только опрашивает систему на изменения, но также практически мгновенно перехватывает управление большинства изменений в ключах реестра, файлах и папках. Удаление ключей в реестре также перехватывается в рамках опроса системы.

Список ключей и файлов, которые будут отслеживаться, полностью настраивается пользователем. Не надо пугаться. MJ Registry Watcher имеет собственные списки, которые подойдут большинству пользователей. Для работы с этой утилитой, пользователь должен обладать средними знаниями о системе. Эту утилиту особенно оценят пользователи, которые предпочитают обеспечивать многоуровневую защиту путем использования множества небольших специализированных утилит. Утилита не требует установки. Просто скачайте и запустите.

Программа также включает: мониторинг процессов , мониторинг работы с файлами и папками, мониторинг электронной почты и модуль для работы с карантином.

Руководство по быстрому выбору (ссылки для скачивания бесплатных программ обнаружения и предотвращения вторжений)

Malware Defender

WinPatrol

• Категоря: Без рубрики

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой…

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.

Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.

Большинство персональных межсетевых экранов обладают подобной функцией.

Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-компьютеры:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».

Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.

Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.

Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.

Злоумышленнику, чтобы получить доступ к информации Вашей компании, необходимо пройти несколько эшелонов защиты. При этом он может использовать уязвимости и некорректные настройки конечных рабочих станций, телекоммуникационного оборудования или социальную инженерию. Атаки на информационную систему (ИС) происходят постепенно: проникновение в обход политик информационной безопасности (ИБ), распространение в ИС с уничтожением следов своего присутствия и только потом непосредственно атака. Весь процесс может занять несколько месяцев, или даже лет. Зачастую ни пользователь, ни администратор ИБ не подозревают об аномальных изменениях в системе и проводимой на нее атаке. Все это приводит к угрозам нарушения целостности, конфиденциальности и доступности информации, обрабатываемой в ИС.

Для противодействия современным атакам недостаточно традиционных средств защиты, таких как межсетевые экраны, антивирусы и т.п. Требуется система мониторинга и обнаружения потенциально возможных атак и аномалий, реализующая следующие функции:

• обнаружение попыток вторжений в информационные системы;
• детектирование атак в защищаемой сети или ее сегментах;
• отслеживание неавторизованного доступа к документам и компонентам информационных систем;
• обнаружение вирусов, вредоносных программ, троянов, ботнетов;
• отслеживание таргетированных атак.

Важно учесть, что если в ИС компании обрабатывается информация, подлежащая обязательной защите в соответствии с требованиями российского законодательства (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами ФСТЭК России и/или ФСБ России.

С-Терра СОВ

На протяжении многих лет компания «С-Терра СиЭсПи» производит VPN-продукты для организации криптографической защиты передаваемых данных и межсетевого экранирования. В связи с возросшими потребностями пользователей в повышении общего уровня безопасности ИС, компания «С-Терра СиЭсПи» разработала специальное средство защиты информации, обеспечивающее обнаружение атак и аномальных активностей.

С-Терра СОВ представляет собой средство защиты, позволяющее администраторам информационной безопасности выявлять атаки, основываясь на анализе сетевого трафика. В основе работы данного средства защиты лежит использование механизмов сигнатурного анализа.

При анализе сетевого трафика с помощью сигнатурного метода администратор всегда сможет точно установить, какой конкретно пакет или группа пакетов вызвали срабатывание сенсора, отвечающего за детектирование аномальной активности. Все правила чётко определены, для многих из них можно проследить всю цепочку: от информации о деталях уязвимости и методах её эксплуатации, до результирующей сигнатуры. В свою очередь, база правил сигнатур обширна и регулярно обновляется, тем самым гарантируя надежную защиту ИС компании.

Для минимизации рисков от принципиально новых атак нулевого дня, для которых отсутствуют сигнатуры, в состав продукта С-Терра СОВ включен дополнительный метод анализа сетевой активности – эвристический. Этот метод анализа активности строится на основе эвристических правил, т.е. на основе прогноза активности ИС и ее сопоставления с нормальным «шаблонным» поведением, которые формируются во время режима обучения данной системы на основе ее уникальных особенностей. За счет применения данного механизма защиты, С-Терра СОВ позволяет обнаружить новые, ранее неизвестные атаки или любую другую активность, не попавшую ни под какую конкретную сигнатуру.

Сочетание сигнатурного и эвристического анализов позволяет обнаружить несанкционированные, нелегитимные, подозрительные действия со стороны внешних и внутренних нарушителей. Администратор ИБ может прогнозировать возможные атаки, а также выявлять уязвимости для предотвращения их развития и влияния на ИС компании. Оперативное детектирование возникающих угроз позволяет определить расположение источника атаки по отношению к локальной защищаемой сети, что облегчает расследование инцидентов ИБ.

Таблица 1. Функциональность С-Терра СОВ

Система обнаружения атак С-Терра СОВ имеет удобный интерфейс, управление и контроль осуществляется по защищенному каналу с применением технологии IPsec на отечественных криптоалгоритмах ГОСТ.

Использование С-Терра СОВ в качестве компонента защиты повышает общий уровень защищенности ИС благодаря постоянному анализу изменений ее состояния, выявлению аномалий и их классификации. Наглядный и функциональный веб-интерфейс управления и контроля над системой обнаружения вторжений, а также наличие дополнительных утилит управления, позволяет корректно настроить сенсоры событий, эффективно обрабатывать и представлять результаты анализа трафика.

Схема включения С-Терра СОВ

С-Терра СОВ размещается в сегменте локальной сети (например, DMZ-зоне), весь трафик, циркулирующий в этом сегменте, дублируется и перенаправляется на средство защиты через «зеркалирующий» span-порт коммутатора. Управление осуществляется через отдельный интерфейс по защищенному каналу. Более подробная схема включения в ИС компании представлена на рисунке 1 .

Рисунок 1. Схема включения отдельных С-Терра СОВ и С-Терра Шлюз

На одном устройстве могут одновременно работать С-Терра Шлюз для шифрования трафика и межсетевого экранирования, а также С-Терра СОВ – для обнаружения сетевых атак. Подробная схема такого включения представлена на рисунке 2 .

Рисунок 2. Схема включения совместной работы С-Терра СОВ и С-Терра Шлюз

Выбор продуктов

С-Терра СОВ поставляется в виде программно-аппаратного комплекса или в виде виртуальной машины для популярных гипервизоров (VMware ESX, Citrix XenServer, Parallels, KVM).

Выбор конкретного исполнения зависит от объемов передаваемой по сети информации, количества используемых сигнатур и других факторов.

Если предпочтительной является аппаратная платформа, то есть возможность выбрать из трех вариантов производительности анализа информации – для скоростей 10, 100 и 1000 Мбит/с.

Производительность Виртуальной СОВ может изменяться в широких пределах и зависит от используемых настроек гипервизора и ресурсов аппаратной платформы, на которой виртуальная СОВ работает.

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте:
Вам обязательно помогут!

Порядок действий при обнаружении сетевых атак.

1. Классификация сетевых атак

1.1. Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки ). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.

1.2. IP-спуфинг

IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

1.3. Отказ в обслуживании (Denial of Service — DoS )

DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.

Наиболее известные разновидности DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network (TFN );
• Tribe Flood Network 2000 (TFN2K );
• Trinco;
• Stacheldracht;
• Trinity.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер ) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS ).

1.4. Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу ). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший ) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

1.5. Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

1.6. Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа ). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей ). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

1.7. Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep ) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

1.8. Злоупотребление доверием

Этот тип действий не является «атакой» или «штурмом» . Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.

1.10. Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация ). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными» . Источник таких атак может находиться как внутри сети, так и снаружи.

1.11. Вирусы и приложения типа «троянский конь»

Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.

2. Методы противодействия сетевым атакам

2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

2.1.1. Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords ). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token ) понимается аппаратное или программное средство, генерирующее (по случайному принципу ) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.

2.1.2. Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

2.1.3. Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.

2.1.4. Криптография - Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).

2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

2.2.1. Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

2.2.2. Фильтрация RFC 2827 - пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP ). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.3. Угроза атак типа DoS может снижаться следующими способами:

2.3.1. Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

2.3.2. Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.

2.3.3. Ограничение объема трафика (traffic rate limiting ) – договор с провайдером (ISP ) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D ) DoS часто используют ICMP.

2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.

2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.

При использовании обычных паролей, необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д. ). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге.

2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии ), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.

Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

• чтение и/или анализ лог-файлов операционных систем и сетевые лог-файлов с помощью специальных аналитических приложений;
• своевременное обновление версий операционных систем и приложений и установка последних коррекционных модулей (патчей );
• использование систем распознавания атак (IDS ).

2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP ), в сети которого установлена система, проявляющая чрезмерное любопытство.

2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8 ). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS ).

2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.

3. Алгоритм действий при обнаружении сетевых атак

3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п. ).

3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.

3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием » каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.

3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:

• осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
• выявляет диапазон IP – адресов, с которых осуществляется атака;
• отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.

3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.

3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.

Скачать ZIP файл (24151)

Пригодились документы - поставь «лайк»:

Полное название таких систем, это системы предотвращения и обнаружения атак . Или же называют СОА как один из подходов к . Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать .

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают .

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

• реализует очевидные проколы
• реализует неоднократные попытки на вхождение в сеть
• пытается замести свои следы
• реализует атаки в разное время

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

• выявление злоупотреблений
• выявление аномалий

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

• границы сегментов
• сетевые сегменты
• объекты с доверием и без
• ACL — списки контроля доступа
• Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

• Распознавание популярных атак и предупреждение о них определенных лиц
• Понимание непонятных источников данных об атаках
• Возможность управления методами защиты не-специалистами в сфере безопасности
• Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
• Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

• Контроль эффективность . Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
• Контроль узлов сети с устаревшим ПО
• Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
• Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

• host-based — система направлена на конкретный узел сети
• network-based — система направлена на всю сеть или сегмент сети

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo , это можно считать атакой. Положительные стороны:

• самый простой механизм обнаружения атак;
• разрешает жестко сопоставить образец с атакующим пакетом;
• работает для всех протоколов;
• сигнал об атаке достоверен, если же образец верно определен.

Отрицательные стороны:

• если атака нестандартная, есть вероятность пропустить ее;
• если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
• Возможно что придется создавать несколько образцов для одной атаки;
• Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o . Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

• этот метод немного сложнее от предыдущего метода;
• сообщение об атаке правдиво, если образец достоверный;
• разрешает сильно увязать атаку с образцом;
• работает для всех протоколов;
• уклонение от атаки более сложнее чем в прошлом методе.

Отрицательные стороны:

• Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

• если протокол точно определен, то снижается вероятность ложных срабатываний;
• разрешает жестко увязать образец с атакой;
• разрешает выявить случаи нарушения правил работы с протоколами;
• разрешает улавливать разные варианты атак на основе одной.

Отрицательные стороны:

• Механизм является сложным для настройки;
• Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

• Есть такие типы атак, которые могут быть выявлены только этим механизмом.

Отрицательные стороны:

• Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

• Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.

Отрицательные стороны:

• Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
• Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
• Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования.