Безпека мереж з урахуванням TCP/IP

Московский державна інституція електроніки і математики..

кафедра ЭВА

Реферат на тему:.

«Безопасность мереж з урахуванням TCP/IP».

Москва 1999

Безпека мереж з урахуванням сімейства протоколів TCP/IP

В цієї роботи безпеку мереж з урахуванням сімейства протоколів TCP/IP розглядатиметься з прикладу мережі Internet, інформаційна безпеку якої у значною мірою визначається цими протоколами.

Из-за обмеженості обсягу цієї роботи механізми реалізації атак ні розглянуті докладно, оскільки це досить висока тема і цього є спеціальна література, посилання яку приведено наприкінці. Ця робота є огляд найбільш поширених атак, заснованих на виключно особливостях протоколів, з описом причин, за якими можливі, і описом способів усунення уязвимостей. Також у роботі порушено теми, не мають безпосередньо до протоколів TCP/IP, але з менш важливі з погляду безпеки мережі Internet.

Далее розглядатимуться типові атаки, але спочатку треба дати кілька загальних визначень і розглянути класифікацію загроз безпеці. З іншого боку, слід помітити, за статистикою руйнація даних в обчислювальних системах найчастіше відбувається через діяльність зломщиків, помилок програми чи дій вірусів (17%) або технічних відмов (16%), а через помилки і несанкціонованих дій користувачів (67%).

Сначала коротенько розглянемо особливості сімейства протоколів TCP/IP та мереж з його основе.

Итак, стік протоколів TCP/IP включає в себя:

o IP (Internet Protocol) — міжмережевий протокол, що забезпечує транспортування без додаткової обробки даних із однієї машини на другую;

o UDP (User Datagram Protocol) — протокол користувальних датаграмм, який би транспортування окремих повідомлень з допомогою IP без перевірки ошибок;

o TCP (Transmission Control Protocol) — протокол керування передаванням, який би транспортування з допомогою IP з перевіркою встановлення соединения;

o ICMP (Internet Control Message Protocol) — міжмережевий протокол управління повідомленнями, що відповідає за різні види низкоуровневой підтримки протоколу IP, включаючи повідомлення помилки, сприяння маршрутизації, підтвердження у отриманні сообщения;

o ARP (Address Resolution Protocol) — протокол перетворення адрес, виконує трансляцію логічних мережевих адрес в аппаратные;

Каждый комп’ютер, подключаемый до Internet, отримує свій унікальний IP-адрес.

Основные поняття комп’ютерної безопасности Угроза безпеки комп’ютерної системи — це потенційно можливе подія, що може надати небажаний вплив на саму систему, і навіть на інформацію, що зберігається в ней.

Уязвимость комп’ютерної системи — якась її невдала характеристика, котра уможливлює виникнення угрозы.

Наконец, атака й на комп’ютерну систему — це дію, предпринимаемое зловмисником, що полягає у пошук компромісу та використанні тій чи іншій уязвимости.

Исследователи зазвичай виділяють три основні види загрозам міжнародній безпеці - це загрози розкриття, цілісності і в обслуговуванні.

Угроза розкриття полягає тому, що набуває розголосу тому, кому було б її знати. Іноді замість слова «розкриття «використовуються терміни «крадіжка «чи «витік » .

Угроза цілісності включає у собі будь-яке навмисне зміна даних, які у обчислювальної системі чи переданих з однієї системи до іншої. Зазвичай вважається, що загрозу розкриття піддаються більшою мірою державні структури, а загрозу цілісності - ділові чи комерційні.

Угроза відмови від обслуговуванні виникає щоразу, коли час деяких дій блокується доступом до деякому ресурсу обчислювальної системи. Реально блокування то, можливо постійним, те щоб запитуваний ресурс ніколи було отримано, чи її може викликати лише затримку цього ресурсу, досить тривалу у тому, щоб він став непотрібним. У разі кажуть, що ресурс исчерпан.

В локальних обчислювальних системах (ЗС) найчастішими є загрози розкриття і цілісності, а глобальних перше місце виходить загроза відмови від обслуживании.

Особливості безпеки комп’ютерних мереж

Основной особливістю будь-який мережевий системи і те, що її компоненти розподілені у просторі і зв’язок з-поміж них фізично здійснюється за допомоги мережевих сполук (коаксіальний кабель, вита пара, оптоволокно тощо. п.) і програмно з допомогою механізму повідомлень. У цьому все управляючі повідомлення й дані, що надсилаються між об'єктами розподіленої обчислювальної системи, передаються по мережним сполукам як пакетів обмена.

Сетевые системи характерні тим, що, поруч із звичайними (локальними) атаками, здійснюваними межах однієї комп’ютерної системи, до них застосуємо специфічний вид атак, обумовлений распределенностью ресурсів немає і інформацією просторі. Це правда звані мережеві (чи вилучені) атаки (remote чи network attacks). Вони характеризуються, по-перше, тим, що зловмисник може бути за тисячі км від атакуемого об'єкта, і, по-друге, тим, що нападу може зазнавати не конкретний комп’ютер, а інформація, що передається по мережним сполукам. З розвитком локальних і глобальних мереж саме вилучені атаки стають лідируючими як за кількістю спроб, і по успішності їхньої застосування і, забезпечення безпеки ВР із погляду протистояння удалённым атакам набуває першорядне значение.

Класифікація комп’ютерних атак

Формы організації атак дуже різні, але загалом усі вони належать до однієї з наступних категорий:

Удаленное насичення комп’ютер: програми, які отримують неавторизованный доступом до іншому комп’ютера через Інтернет (чи локальну сеть);

Локальное насичення комп’ютер: програми, які отримують неавторизованный доступу до комп’ютера, де вони работают;

Удаленное блокування комп’ютера: програми, які через Інтернет (чи мережу) блокують роботу всього віддаленого комп’ютера чи окремій програми на нем;

Локальное блокування комп’ютера: програми, які блокують роботу комп’ютера, де вони работают;

Сетевые сканери: програми, які проводять збір інформації про мережі, щоб визначити, які з комп’ютерів, і програм, працівників них, потенційно уразливі до атакам;

Сканеры уразливих місць програм: програми, перевіряють великі групи комп’ютерів до Інтернету у пошуках комп’ютерів, уразливих до того що чи іншому конкретному виду атаки;

Вскрыватели паролів: програми, які виявляють легко вгадувані паролі в зашифрованих файлах паролей;

Сетевые аналізатори (sniffers): програми, які слухають мережевий трафік. Часто у яких є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт з трафика;

Модификация переданих даних чи підміна информации;

Подмена довіреної об'єкта распределённой ЗС (робота від імені) чи помилковий об'єкт распределённой ЗС (РВС).

Социальная інженерія — не санкціонованого доступу до інформації інакше, ніж зламування програмного забезпечення. Мета — обхитрити людей щоб одержати паролів до системи чи іншого інформації, яка допоможе порушити безпеку системы;

Статистика найпоширеніших атак

В 1998 року NIST (internet проаналізував 237 комп’ютерних атак, інформацію про яких було опублікована Інтернет. Цей аналіз дав таку статистику:

29% атак було організовано з-під Windows.

Вывод: Марно вважати небезпечної лише Unix. Зараз саме час атак типу «вкажи і клікни ». Доступність у мережі програм для зламування дозволяє користуватися ними навіть не являючи не знаючими людьми. У найближчому майбутньому, мабуть, цей відсоток буде расти.

в 20% атак атакуючі змогли удаленно поринути у мережні елементи (маршрутизатори, комутатори, хосты, принтери і міжмережеві экраны).

Вывод: атаки, у ході атакуючий отримує неавторизованный доступом до віддаленим хостам непогані рідкісні.

в 3% атак web-сайти атакували своїх посетителей.

Вывод: пошук інформацією WWW більше є повністю безпечним занятием.

на чотири% атак вироблялося сканування Інтернету на наявність уразливих хостів.

Вывод: Є багато коштів автоматичного сканування, з допомогою яких може бути скомпрометовані хосты. Системні адміністратори повинні регулярно сканувати свої системи (інакше зробить хтось інший).

5% атак виявилися успішними атаками проти маршрутизаторів і межсетевых экранов.

Урок: самі компоненти інфраструктури Інтернету уразливі до атакам (щоправда, більшістю цих атак були атаки віддаленого блокування комп’ютерів і сканування, і лише дещиця були віддаленим проникненням в комп’ютери.).

Согласно опитування за 1999 рік Інституту Комп’ютерної Безпеки і ФБР про комп’ютерних злочинах, 57% опитаних організацій повідомили, що вважають сполуки їх мереж з Інтернет «місцем, звідки часто організуються атаки ». 30% опитаних повідомило, що були випадки проникнення їх мережі, а 26% сказали, що під час атак відбувалася крадіжка конфіденційної комп’ютерної інформації. Федеральний центр боротьби з комп’ютерними злочинами США — FedCIRC (internet повідомив, що у 1998 року атакам піддалося близько 130 000 державних мереж з 1 100 000 комп’ютерами.

Аналіз мережного трафіку мережі Internet

Одним із засобів отримання паролів і ідентифікаторів користувачів у мережі Internet є аналіз мережного трафіку. Мережний аналіз здійснюється з допомогою спеціальної пpогpаммы-анализатоpа пакетів (sniffer), перехватывающей все пакети, передані по сегменту мережі, і выделяющей у тому числі ті, у яких передаються ідентифікатор користувача та її пароль.

Во багатьох протоколах дані передаються у відкритому, незашифрованном вигляді. Аналіз мережного трафіку дозволяє перехоплювати дані, передані по протоколів FTP і TELNET (паролі і ідентифікатори користувачів), HTTP (передача гіпертексту між WEB-сервером і браузером, зокрема і запроваджувані користувачем в форми на web-страницах дані), SMTP, POP3, IMAP, NNTP (електронна пошта й конференції) і IRC (online-разговоры, chat). Так можуть бути перехоплені паролі для доступу до поштовим системам з web-интерфейсом, номери кредитних карт під час роботи з системами електронної комерції й різна інформація особистої вдачі, розголошення якої нежелательно.

В час розроблено різні протоколи обміну, дозволяють захистити мережне з'єднання і зашифрувати трафік (наприклад, протоколи SSL і TLS, SKIP, S-HTTP тощо.). На жаль, вони не змінили старі протоколи і стали стандартом кожному за користувача. У певній ступеня їх поширенню завадили що у деяких країнах обмеження експорту коштів сильної криптографії. Через це реалізації даних протоколів або убудовувалися в програмне забезпечення, або значно послаблялися (обмежувалася максимальна довжина ключа), що призводило практичної марності їх, оскільки шифри були розкрито за прийнятне время.

Несправжній ARP-сервер у мережі Internet

Для адресації IP-пакетов у мережі Internet крім IP-адреси хоста необхідний ще або Ethernet-адрес його мережного адаптера (у разі адресації всередині однієї подсети), або Ethernet-адрес маршрутизатора (у разі міжмережевий адресації). Спочатку хост може мати інформації про Ethernet-адресах інших хостів, що є із ним одному сегменті, зокрема і Ethernet-адресе маршрутизатора. Отже, перед хостом постає стандартна проблема, розв’язувана з допомогою алгоритму віддаленого пошуку.

В мережі Internet на вирішення цієї проблеми використовується протокол ARP (Address Resolution Protocol). Протокол ARP дозволяє їм отримати взаємно однозначне відповідність IPі Ethernet-адресов для хостів, що є всередині одного сегмента. Цей протокол працює так: з першого зверненні до мережному ресурсу хост відправляє широкомовний ARP-запрос, у якому вказує IP-адрес потрібного ресурсу (маршрутизатора чи хоста) і повідомити його Ethernet-адрес. Цей запит отримують всі станції у цьому сегменті мережі, зокрема й, адресу якої шукається. Отримавши цей запит, хост вносить запис про запросившей станції на свій ARP-таблицу, та був відправляє на запросивший хост ARP-ответ зі своїми Ethernet-адресом. Отриманий в ARP-ответе Ethernet-адрес заноситься в ARP-таблицу, розташовану за пам’яті ОС на запросившем хосте.

Из-за використання їх у РВР алгоритмів віддаленого пошуку, є можливість здійснення у такому мережі типовий віддаленій атаки «Несправжній об'єкт РВР «.

Общая схема цієї атаки такова:

ожидание ARP-запроса;

при отриманні ARP-запроса передача через мережу на запросивший хост помилкового ARP-ответа, де вказують адресу мережного адаптера атакуючої станції (помилкового ARP-сервера) чи ту Ethernet-адрес, де буде приймати пакети помилковий ARP-сервер;

прием, аналіз, поєднання передача пакетів обміну між взаємодіючими хостами (вплив на перехоплену информацию);

Самое найпростіше його вирішення на ліквідацію даної атаки — створення мережним адміністратором статичної ARP-таблицы як файла, куди вноситься інформація про адреси, і установка цього файла за кожен хост всередині сегмента.

Ложный DNS-сервер у мережі Internet.

Как відомо, для звернення до хостам у мережі Internet використовуються 32-разрядные IP-адреси, унікально ідентифікують кожен мережевий комп’ютер. Але для користувачів застосування IP-адрес при зверненні до хостам не занадто зручним і не самим наочним. Тож їх зручності було ухвалено рішення привласнити всім комп’ютерів у Мережі імена, що у своє чергу зажадало перетворення цих імен в IP-адреси, бо в мережному рівні адресація пакетів йде за іменам, а, по IP-адресам.

Первоначально, як у мережі Internet майже немає комп’ютерів, вирішення проблеми перетворення імен в адреси існував спеціальний файл (так званий hosts-файл), у якому іменам у відповідність ставилися IP-адреси. Файл регулярно оновлювався і розсилався Мережею. З розвитком Internet, число об'єднаних до Мережі хостів збільшувалася, і такі схема ставала все менш працездатною. Тому їй змінюють прийшла нову систему перетворення імен, що дозволяє користувачеві отримати IP-адрес, відповідний визначеному імені, від найближчого информационно-поискового серверу (DNS-сервера). Цей засіб розв’язання проблеми отримав назву Domain Name System (DNS — доменна система імен). Задля реалізації цією системою розробили протокол DNS.

Алгоритм роботи DNS-службы такой:

1. Хост посилає на IP-адрес найближчого DNS-сервера DNS-запрос, де вказують ім'я серверу, IP-адрес якого вимагають найти.

2. DNS-сервер і при отриманні такого запиту шукає вказане ім'я у своїй базі імен. Якщо він і відповідні йому IP-адрес знайдено, то DNS-сервер відправляє на хост DNS-ответ, у якому вказує ця адреса. Якщо ім'я не знайдено у своїй базі імен, то DNS-сервер пересилає DNS-запрос однією з відповідальних за домени верхнього рівня DNS-серверов. Цю процедуру повторюється, поки ім'я нічого очікувати знайдено або вона буде не найдено.

Как це випливає з приведённого алгоритму, у мережі, використовує протокол DNS, можливо впровадження помилкового об'єкта — помилкового DNS-сервера Так як у вмовчанням служба DNS функціонує з урахуванням протоколу UDP, яка передбачає, на відміну TCP, коштів ідентифікації повідомлень, це робить її менш защищённой.

Возможна така схема роботи помилкового DNS-сервера:

1. Чекання DNS-запроса.

2. Вилучення з отриманого повідомлення необхідної інформації і передачі за запросивший хост помилкового DNS-ответа від імені (з IP-адреси) справжнього DNS-сервера і із зазначенням у тому відповіді IP-адреси помилкового DNS-сервера.

3. З отриманням пакета від хоста — зміна в IP-заголовке пакета його IP-адреси на IP-адрес помилкового DNS-сервера і передачі пакета на сервер. Несправжній DNS-сервер веде роботи з сервером від своєї имени.

4. З отриманням пакета від серверу — зміна в IP-заголовке пакета його IP-адреси на адресу помилкового DNS-сервера і передачі пакета на хост. Несправжній DNS-сервер для хоста справжнє сервером.

Можливі два варіанта реалізації цієї атаки. У першому випадку необхідною умовою є перехоплення DNS-запроса, що потребує перебування атакуючого або по дорозі основного трафіку, або у одному сегменті з DNS-сервером. У другий випадок створюється спрямований шторм хибних заздалегідь підготовлених DNS-ответов на атакований хост.

У Internet під час використання існуючої версії служби DNS немає прийнятного рішення захисту від помилкового DNS-сервера. Можна відмовитися від механізму удалённого пошуку істини та повернутися до методу з файлом hosts, як це було до появи служби DNS, але сьогодні у цей файл можна лише внести інформацію про найчастіше відвідуваних адресах.

Також для труднощі даної атаки можна запропонувати використовувати протокол TCP замість UDP, хоча з документації який завжди відомо, як це зробити, та й використання TCP усе одно не забезпечує повну безопасность.

Накинення хосту помилкового маршруту з використанням протоколу ICMP з метою створення у мережі Internet помилкового маршрутизатора

Це ще одна атака, що з впровадженням у РВР помилкового об'єкта. Маршрутизація в Internet складає мережному рівні (IP-уровень). Для її забезпечення у пам’яті мережевий ОС кожного хоста існують таблиці маршрутизації, містять даних про можливих маршрутах. Кожен сегмент мережі підключено до глобальної мережі Internet принаймні через один маршрутизатор. Усі повідомлення, адресовані до інших сегменти мережі, скеровуються в маршрутизатор, який, своєю чергою, перенаправляє їх далі за зазначеному у пакеті IP-адресу, обираючи у своїй оптимальний маршрут.

Як зазначалося раніше, у мережі Internet існує управляючий протокол ICMP, одна з призначень якого полягає у динамічному зміні таблиці маршрутизації оконечных мережевих систем. Удалённое управління маршрутизацією реалізовано формі передачі на хост управляючого ICMP-сообщения Redirect Message.

Для даної атаки необхідно підготувати хибне ICMP-сообщение Redirect Datagrams for the Host, де вказати адресу хоста, маршрут до якого изменён, і IP-адрес помилкового маршрутизатора. Потім це повідомлення передається на атакований хост від імені маршрутизатора. Ця атака дозволяє їм отримати контроль над трафіком між цим хостом і цікавлячим зломщика сервером, якщо хост і зломщик перебувають у одному сегменті, чи порушити працездатність хоста, якщо вони вміщено у різних сегментах.

Захиститися від імені цієї впливу можна фільтрацією проходять ICMP-сообщений з допомогою систем Firewall. Інший спосіб залежить від зміні мережного ядра ОС, щоб заборонити реакцію на ICMP-сообщение Redirect.

Підміна жодного з суб'єктів TCP-соединения у мережі Internet (hijacking)

Протокол TCP (Transmission Control Protocol) одна із базових протоколів транспортного рівня мережі Internet. Він дає змогу виправляти помилки, які можуть виникнути у процесі передачі пакетів, встановлюючи логічне з'єднання — віртуальний канал. У цій каналу передаються і приймаються пакети із державною реєстрацією їх послідовність, здійснюється управління інформаційним потоком, організовується повторна передача перекручених пакетів, тож під кінець сеансу канал розривається. У цьому протокол TCP єдиний базовим протоколом з сімейства TCP/IP, у яких додаткову систему ідентифікації повідомлень і соединения.

Для ідентифікації TCP-пакета в TCP-заголовке існують два 32-разрядных ідентифікатора, які також грають роль лічильника пакетів. Їх назви — Sequence Number (номер послідовності) і Acknowledgment Number (номер підтвердження).

Щоб сформувати помилкового TCP-пакета атакуючому треба зазначити поточні ідентифікатори для даного сполуки. Це означає, що він досить, підібравши відповідні поточні значення ідентифікаторів TCP-пакета для даного TCP-соединения послати пакет з будь-якого хоста у Мережі від імені однієї з учасників даного сполуки, і цей пакет буде сприйнятий як верный.

При перебування зломщика і об'єкта атаки щодо одного сегменті, завдання отримання значень ідентифікаторів вирішується аналізом мережного трафіку. Якщо вони перебувають у різні сегменти, доводиться користуватися математичним пророкуванням початкового значення ідентифікатора екстраполяцією його попередніх значений.

Для захисту від такого типу атак необхідно використовувати ОС, у яких початкова значення ідентифікатора генерується справді випадково. Слід також використовувати захищені протоколи типу SSL, S-HTTP, Kerberos і т.д.

Спрямований шторм хибних TCP-запросов створення сполуки

На кожен отриманий TCP-запрос створення сполуки операційна система повинна згенерувати початкова значення ідентифікатора ISN й надіслати їх у у відповідь запросивший хост. У цьому, позаяк у мережі Internet (стандарту IPv4) не передбачено контролю над IP-адресом відправника повідомлення, то неможливо відстежити істинний маршрут, пройдений IP-пакетом, і, отже, у кінцевих абонентів мережі немає можливості обмежити число можливих запитів, прийнятих в одиницю часу від однієї хоста. Тому можливо здійснення типовий атаки «Відмова у обслуговуванні «, яка полягати у передачі на атакований хост якомога більшої числа хибних TCP-запросов створення сполуки від імені будь-якого хоста у мережі. У цьому атакована мережна ОС в залежність від обчислювальної потужності комп’ютера або — у разі - практично зависає, або — у разі - перестає реагувати на легальні запити на підключення (відмову у обслуживании).

Это наслідок те, що для всієї маси отриманих хибних запитів система повинна, по-перше, зберегти у пам’яті одержаний прибуток у кожному запиті інформації і, по-друге, напрацювати і відіслати у відповідь кожен запит. Отже, все ресурси системи «з'їдаються «хибними запитами: переповнюється чергу запитів, і системи займається але їхні обработкой.

Недавно у Мережі був відзначений новим типом атак. Замість типових атак Denial of Service хакери переповнюють буфер пакетів корпоративних роутеров ні з одиничних машин, і з цілих тисяч компьютеров-зомби.

Такие атаки здатні блокувати канали потужністю до Т3 (44.736 Мбіт/c) вже зазначено кілька таких випадків. Небезпека атаки стає тим важливіше, що більше бізнесів використовують приватні мережі типу VPN та інші Інтернет-технології. Адже відмова каналу в публічного провайдера приведе у цьому разі просто до відключення користувачів, а до зупинки роботи величезних корпораций.

В цьому випадку існують складнощі у визначенні джерела атаки — хибні пакети тривають від різних неповторяющихся IP-адрес. «Зомби-атаку «називають найскладнішою з відомих. На самотню жертву нападає ціла армія, й у зомбі б'є лише одне раз.

Приемлемых засобів захисту аналогічних атак у мережі стандарту IPv4 немає, оскільки неможливий контролю над маршрутом повідомлень. На підвищення надёжности роботи системи можна використовувати наскільки можна потужніші комп’ютери, здатні витримати спрямований шторм хибних запитів створення соединения.

Атаки, використовують помилки реалізації мережевих служб

Помимо перелічених атак є і різні атаки, спрямовані проти конкретних платформ. Например:

Атака Land — формируется IP-пакет, у якому адресу відправника збігаються з адресою одержувача. Цією уразливості піддаються все версії ОС сімейства Windows до Windows NT 4.0 Service Pack 4 включно. По прибутті таких запитів доступом до системі стає невозможным.

Атаки teardrop і bonk — основаны на помилках розробників ОС в модулі, що відповідає за складання фрагментированных IP-пакетов. У цьому відбувається копіювання блоку негативною довжини або після складання фрагментів у пакеті залишаються «дірки» — порожні, не заповнені даними місця, що він може призвести до збою ядра ОС. Обидві ці уразливості були у ОС Windows95/NT до Service Pack 4 включно й у ранніх версіях ОС Linux (2.0.0).

WinNuke — атака Windows-систем передачею пакетів TCP/IP із прапором Out Of Band (OOB) відкрите (зазвичай 139-й) TCP-порт. Сьогодні ця атака застаріла. Ранні версії Windows95/NT зависали.

Существуют й різні інші атаки, характерні тільки до певних ОС.

Атака через WWW

Останні кілька років із бурхливим розвитком World Wide Web сильно збільшилася і число атак через Web. У загалом усе типи атак через Web можна розділити на великі группы:

1. Атака на клиента.

2. Атака на сервер В своєму розвитку браузери пішли дуже далека стосовно початкових версій, призначених тільки до перегляду гіпертексту. Функціональність браузерів стає більше, це вже повноцінний компонент ОС. Паралельно з’являються і численні проблеми з безпекою використовуваних технологій, як-от які підключаються модулі (plug-ins), елементи ActiveX, докладання Java, кошти підготовки сценаріїв JavaScript, VBScript, PerlScript, Dynamic HTML.

Благодаря підтримці цих технологій як браузерами, а й поштовими клієнтами, і наявності помилок у яких останні рік-два з’явилася велика кількість поштових вірусів, і навіть вірусів, заражающих html-файлы (реалізовані на VBScript з допомогою ActiveX-объектов). Дуже поширені троянці. Подією року стало випуск хакерської групою Cult of the Dead Cow програми BackOrifice 2000, що на відміну від попередньої версії працює під WindowsNT та ще й поширюється у вихідних текстах, що дає можливість усім бажаючим створити клон програмних засобів під свої конкретні потреби, при цьому, напевно, не улавливаемый антивірусними програмами.

Безпека серверного ПО переважно визначається відсутністю наступних типів ошибок:

Ошибки в серверах: помилки, що призводять до втрати конфіденційності; помилки, що призводять до атакам типу «відмову у обслуговуванні» і помилки, що призводять до виконання на сервері неавторизованного кода.

Ошибки у допоміжних программах Ошибки администрирования.

Проблема 2000 року стосовно мережі Internet

Несмотря те що, що прийдешній наступ 2000 роки не стимулюватиме роботу протоколів сімейства TCP/IP, існують програмно-апаратні кошти, потенційно уразливі стосовно проблемі Y2K — це кошти, обробні дані, пов’язані з системної датой.

Кратко розглянемо можливі проблемы:

o Проблеми з системами шифрування та цифрового підписи — можлива некоректна обробка дати створення оброблюваних сообщений.

o Помилки у роботі систем електронну комерцію, систем електронних торгів і резервування замовлень — неправильна обробка даты.

o Проблеми з модулями автоматизованого контролю безпеки системи та протоколювання подій — неправильне ведення журналу та її анализ.

o Проблеми з модулями реалізації авторизованого доступу до ресурсів системи — неможливість доступу до системи в певні даты.

o Проблеми з запуском в певний час модулів автоматичного аналізу безпеки системи та пошуку вирусов.

o Проблеми з системами захисту від нелегального копіювання, заснованими на тимчасових лицензиях.

o Проблеми з роботою операційних систем.

o Неправильна обробка дати апаратними засобами защиты.

Для усунення можливих проблем в разі настання 2000 року, необхідно всебічно протестувати існуючі системи та виправити виявлені помилки. Конче потрібно ознайомитися з туристичною інформацією з цієї системі від фірми-виробника й оновити програмне забезпечення, якщо доступні виправлені версии.

Методи захисту від удалённых атак в мережі Internet

Найбільш простими й дешёвыми є адміністративні засоби захисту, а саме використання у мережі стійкою криптографії, статичних ARP-таблиц, hosts файлів замість виділених DNS-серверов, використання або невикористання певних операційних систем та інші методы.

Наступна група методів захисту від удалённых атак — програмно-апаратні. До них относятся:

программно-аппаратные шифратори мережного трафика;

методика Firewall; захищені мережні криптопротоколы;

программные кошти виявлення атак (IDS — Intrusion Detection Systems чи ICE — Intrusion Countermeasures Electronics);

программные кошти аналізу захищеності (SATAN — Security Analysis Network Tool for Administrator, SAINT, SAFEsuite, RealSecure і др.);

захищені мережні ОС.

В загальному разі методика Firewall реалізує такі основні функции:

Багаторівнева фільтрація мережного трафіку;

2. Proxy-схема з додатковою ідентифікацією і аутентификацией користувачів на Firewall-хосте. Сенс proxy-схемы полягає у створенні сполуки з кінцевим адресатом через проміжний proxy-сервер на хосте Firewall;

3. Створення приватних мереж з «віртуальними» IP-адресами. Використовується для приховання істинної топології внутрішньої IP-сети.

Здесь можна назвати підгрупу методів захисту — програмні методи. До них належать передусім захищені криптопротоколы, використовуючи які можна підвищити надійність захисту соединения.

Список використаних інформаційних ресурсов:

И. Д. Медведовский, П. В. Семьянов, Д. Г. Леонов Атака на Internet 2-ге вид., перераб. і доп. -М.: ДМК, 1999. Э. Немет, Г. Снайдер, С. Сибасс, Т. Р. Хейн UNIX: керівництво системного адміністратора: Пер. з анг. -До.: BHV, 1996 В. Жельников Криптографія від папірусу до комп’ютера. -M.: ABF, 1996 Матеріали журналу «Компютерра» (internet Server/Workstation Expert, August 1999, Vol. 10, No. 8. Глобальні сіті й телекомунікації, №№ 01/1998, 06/1998 Матеріали конференцій мережі FidoNet: RU. NETHACK, RU.INTERNET.SECURITY Список розсилки BugTraq ([email protected]) HackZone — територія зламування (internet Бібліотека Мережний Безпеки (internet Сайт компанії Internet Security Systems (internet У. Гибсон Нейромант -М.: ТКО АСТ; 1997.