Программно-технические средства обнаружения сетевых атак на ЛВС

 














КУРСОВАЯ РАБОТА

На тему: Программно технические средства обнаружения сетевых атак на ЛВС













Москва 2014

Оглавление


Введение

I.Теоретическая часть

1.1 Постановка задачи

.2 Классификация сетевых атак

1.2.1 Классификация по уровню модели OSI

.2.2 Классификация по типу

.2.3 Классификация по местоположению злоумышленника и атакуемого объекта

.3 Анализ угроз сетевой безопасности

.3.1 Проблема безопасности IP-сетей

.3.2 Угрозы и уязвимости проводных корпоративных сетей

.3.3Угрозы и уязвимости беспроводных сетей

.4 Технологии обнаружения атак

.4.1 Методы анализа сетевой информации

.4.2 Классификация систем обнаружения атак IDS

.4.3 Компоненты и архитектура IDS

.4.4 Методы реагирования

Вывод

II.Практическая часть

2.1 Концепция XSpider

.2 Ключевые особенности

2.2.1 Особенности сканирующего ядра

.2.2 Надежность

.3 Иллюстрации интерфейса XSpider

.4 Автоматизация

Вывод

Заключение

Использованные источники информации и литература

Введение


Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

I.Теоретическая часть


1.1. Постановка задачи


Целью курсовой работы является технология обнаружения атак, проблема безопасности IP-сетей. Рассмотреть виды сетевых атак. Воспользоваться рекомендуемой литературой. Рассказать о компонентах и архитектуре IDS. Рассмотреть вопрос об угрозах проводных и беспроводных сетей.


.2 Классификация сетевых атак


Существует множество критериев, по которым можно классифицировать сетевые атаки. Приведем некоторые из них.


.2.1 Классификация по уровню модели OSI

) Атаки на физическом уровне - используют физические особенности каналов передачи информации.

Примеры:

- установка злоумышленником передатчика, заглушающего сигнал от Wi-Fi точки доступа, с целью нарушить работу беспроводной сети;

установка злоумышленником точки доступа, сигнал от которой будет мощнее, чем сигнал от точки доступа атакуемой сети (чтобы заставить беспроводных клиентов подключиться к точке доступа злоумышленника и похитить какую-либо информацию);

съём информации с кабеля посредством анализа электромагнитного излучения;

нарушение физической целостности кабелей и оборудования

) Атаки на канальном уровне - используют информацию из заголовка канального уровня

Примеры:

MAC spoofing - подделка MAC-адреса в отправляемых пакетах (например, с целью незаконного подключения к беспроводной сети, если точка доступа использует проверку клиентов по их MAC адресам);

взлом протокола шифрования беспроводных сетей WEP

) Атаки на сетевом уровне - используют протоколы сетевого уровня (IP, ICMP, ARP, протоколы маршрутизации).

Примеры:

IP spoofing - подделка IP-адреса в отправляемых пакетах (как правило, используется для прохода через брандмауэр и получения несанкционированного доступа к компьютеру. Также может использоваться злоумышленником для маскировки своего истинного IP-адреса, с целью обеспечить свою безопасность от преследования);

ARP spoofing

ICMP Redirect

Атака на протоколы маршрутизации

Атака «отказ в обслуживании» типа ICMP flood

) Атаки на транспортном уровне - используют протоколы транспортного уровня (TCP, UDP).

Примеры:

сканирование с целью выявления открытых портов;

Атаки «отказ в обслуживании» типа TCP flood, UDP flood

Атака TCP Hijacking

) Атаки на прикладном уровне

Это самая многочисленная группа атак. К ним относятся внедрение вирусов и троянских программ на атакуемый компьютер, использование уязвимостей ОС и прикладных программ, подбор паролей, атаки на веб-приложения типа XSS (Cross-Site Scripting) и SQL Injection.


1.2.2 Классификация по типу

По типу все атаки подразделяются на активные и пассивные. К пассивной атаке относится прослушивание некоммутируемой сети с помощью сниффера, без применения каких-либо дополнительных методов и средств (таких, как, ARP spoofing). В этом случае злоумышленник не предпринимает никаких активных действий, не вмешивается в работу атакуемой системы, а просто наблюдает за передаваемым трафиком. Соответственно, все остальные атаки, требующие от злоумышленника вмешательства в работу атакуемого компьютера, относятся к классу активных атак.


.2.3 Классификация по местоположению злоумышленника и атакуемого объекта

Можно выделить следующие разновидности:

) злоумышленник и атакуемый объект находятся внутри одного сегмента локальной сети (например, районной локальной сети провайдера или корпоративной локальной сети организации). Компьютеру злоумышленника и атакуемому объекту присваиваются IP-адреса из одного диапазона. В этом случае злоумышленнику проще всего осуществить атаку.

) злоумышленник и атакуемый объект находятся в разных сегментах одной локальной сети, соединенных маршрутизатором. Компьютеру злоумышленника и атакуемому объекту присваиваются IP-адреса из разных диапазонов (например, 192.168.1.1 и 192.168.2.2). Сложность осуществления атаки при таком расположении атакующего и жертвы выше, чем в первом случае.

) злоумышленник и атакуемый объект находятся в разных локальных сетях, соединенных через Интернет. Это наиболее сложный для злоумышленника случай, поскольку благодаря технологии NAT внутренняя структура атакуемой сети не видна, а виден только внешний IP-адрес.

) Атака осуществляется из локальной сети на сервер с внешним IP-адресом. С одной стороны, проведение такой атаки кажется довольно простым делом, поскольку сервер имеет внешний IP-адрес, общедоступен и обязан принимать и обслуживать запросы от клиентских приложений. С другой стороны, сервер почти всегда хорошо защищен с помощью межсетевых экранов и систем обнаружения вторжений, имеет мощное аппаратное обеспечение и, как правило, обслуживается целой командой грамотных специалистов по ИТ-безопасности.

Механизм функционирования системы обнаружения атак на уровне сети состоит из 4 основных этапов:

·захват пакетов;

·фильтрация и сборка фрагментов;

·распознавание атак;

·реагирование на них.

В зависимости от того, откуда берутся данные для анализа (с сетевой карты, с компонентов сетевого оборудования или из журнала регистрации), часть, отвечающая за захват пакетов, может быть реализована по-разному, но все остальные части (фильтрация, распознавание и реагирование) остаются без изменения.

Программное обеспечение системы обнаружения атак состоит из следующих частей:

·Ядро, которое осуществляет взаимодействие с сетевым адаптером, частью сетевого оборудования или журналом регистрации, хранящим сетевой трафик. Данное ядро отвечает за захват данных. В сложных системах обнаружения атак, использующих захват с сетевой карты, взаимодействие осуществляется при помощи драйвера самой системы обнаружения атак, подменяющего драйвер операционной системы. Помимо более эффективной работы, это позволяет реализовать и ряд дополнительных функций, например, stealth-режим, не позволяющий обнаружить и атаковать саму систему обнаружения атак. Более простые системы обнаружения, в том числе и созданные самостоятельно, используют и анализируют данные, получаемые от драйвера операционной системы. Это ядро по решаемым задачам практически полностью аналогично ядру анализатора протоколов.

·Программное обеспечение, которое осуществляет декодирование и анализ протоколов, с которыми работает сетевой адаптер, а также реализует соответствующую логику работы системы обнаружения атак и реагирование на них [3-4].


1.3 Анализ угроз сетевой безопасности

сетевой атака сеть безопасность

Для организации коммуникаций в неоднородной сетевой среде применяется набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/IP, поэтому большинство компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Интернет.

Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. Создавая свое детище, архитекторы стека TCP/IP не видели причин для беспокойства о защите сетей, строящихся на его основе. Поэтому в спецификациях ранних версий протокола IP отсутствовали требования безопасности, что привело к изначальной уязвимости реализации этого протокола.


.3.1Проблема безопасности IP-сетей

Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющими выход в общедоступные сети передачи данных.

Распределенные системы подвержены прежде всего удаленным атакам, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие). И если активное воздействие на трафик может быть зафиксировано, то пассивное воздействие практически не поддается обнаружению. Но поскольку в ходе функционирования распределенных систем обмен служебной информацией между компонентами системы осуществляется тоже по открытым каналам передачи данных, то служебная информация становится таким же объектом атаки, как и данные пользователя.

Наиболее распространены следующие атаки.

Подслушивание (sniffing). В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.

Изменение данных. Злоумышленник, получивший возможность прочитать ваши данные, сможет сделать и следующий шаг - изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой конфиденциальности всех передаваемых данных, то наверняка не захотите, чтобы они были изменены по пути.

Анализ сетевого трафика. Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.

Подмена доверенного субъекта. Большая часть сетей и ОС используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отправителя другим адресом). Такой способ атаки называют фальсификацией адреса (IP-spoofing).

IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Злоумышленник может также использовать специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.

Атаки IP-спуфинга часто становятся отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера.

Угрозу спуфинга можно ослабить (но не устранить) с помощью правильной настройки управления доступом из внешней сети, пресечения попыток спуфинга чужих сетей пользователями своей сети.

Следует иметь в виду, что IP-спуфинг может быть осуществлен при условии, что аутентификация пользователей производится на базе IP-адресов, поэтому атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии).

Посредничество. Эта атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Для проведения атаки man-in-the-middle (человек-в-середине) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки man-in-the-middle проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

После получения доступа к сети атакующий злоумышленник может:

посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию;

наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в результате перегрузки;

блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.

Отказ в обслуживании (Denial of Service, DoS). Эта атака отличается от атак других типов: она не нацелена на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. По существу, она лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.Большинство атак DoS опирается на общие слабости системной архитектуры. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей.

Парольные атаки. Их цель - завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы, как:

подмена IP-адреса (1Р-спуфинг);

подслушивание (сниффинг);

простой перебор.

Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой метод носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя.

Атаки на уровне приложений могут проводиться несколькими способами.Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP, web-сервера).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Здесь важно осуществлять хорошее системное администрирование. Чтобы снизить уязвимость от атак этого типа, можно предпринять следующие меры:

анализировать log-файлы ОС и сетевые log-файлы с помощью специальных аналитических приложений;

отслеживать данные CERT о слабых местах прикладных программ;

пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами);

использовать системы распознавания атак IDS (Intrusion Detection Systems).

Сетевая разведка - это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.

Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате добывается информация, которую можно использовать для взлома.

Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

Компьютерные вирусы, сетевые «черви», программа «троянский конь». Вирусы представляют собой вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Вирус обычно разрабатывается злоумышленниками таким образом, чтобы как можно дольше оставаться необнаруженным в компьютерной системе. Начальный период «дремоты» вирусов является механизмом их выживания. Вирус проявляется в полной мере в конкретный момент времени, когда происходит некоторое событие вызова, например пятница 13-е, известная дата и т. п.

К компьютерным вирусам примыкают так называемые «троянские кони» (троянские программы). «Троянский конь» - это программа, которая имеет вид полезного приложения, а на деле выполняет вредные функции (разрушение ПО, копирование и пересылка злоумышленнику файлов с конфиденциальными данными и т. п.). Опасность «троянского коня» заключается в дополнительном блоке команд, вставленном в исходную безвредную программу, которая затем предоставляется пользователям АС. Этот блок команд может срабатывать при наступлении какого-либо условия (даты, состояния системы) либо по команде извне. Пользователь, запустивший такую программу, подвергает опасности как свои файлы, так и всю АС в целом. Рабочие станции конечных пользователей очень уязвимы для вирусов, сетевых «червей» и «троянских коней».

Перечисленные атаки на IP-сети возможны в результате:

использования общедоступных каналов передачи данных. Важнейшие данные, передаются по сети в незашифрованном виде;

уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде;

отсутствия в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых сообщений;

аутентификации отправителя по его IP-адресу. Процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем подлинность принимаемых пакетов не проверяется;

отсутствия контроля за маршрутом прохождения сообщений в сети Internet, что делает удаленные сетевые атаки практически безнаказанными,

Первые средства защиты передаваемых данных появились практически сразу после того, как уязвимость IP-сетей дала о себе знать на практике. Характерными примерами разработок в этой области могут служить: PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов Telnet и процедур передачи файлов.

Общим недостатком подобных широко распространенных решений является их «привязанность» к определенному типу приложений, а значит, неспособность удовлетворять тем разнообразным требованиям к системам сетевой защиты, которые предъявляют крупные корпорации или Internet-провайдеры.

Самый радикальный способ преодоления указанного ограничения сводится к построению системы защиты не для отдельных классов приложений (пусть и весьма популярных), а для сети целом. Применительно к IP-сетям это означает, что системы защиты должны действовать на сетевом уровне модели OSI.


.3.2Угрозы и уязвимости проводных корпоративных сетей

На начальном этапе развития сетевых технологий ущерб от вирусных и других типов компьютерных атак был невелик, так как зависимость мировой экономики от информационных технологий была мала. В настоящее время в условиях значительной зависимости бизнеса от электронных средств доступа и обмена информацией и постоянно растущего числа атак ущерб от самых незначительных атак, приводящих к потерям машинного времени, исчисляется миллионами долларов, а совокупный годовой ущерб мировой экономике составляет десятки миллиардов долларов. Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:

увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;

сосредоточение в базах данных информации различного уровня важности и конфиденциальности;

расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;

увеличение числа удаленных рабочих мест;

широкое использование глобальной сети Internet и различных каналов связи;

автоматизация обмена информацией между компьютерами пользователей.

.3.3Угрозы и уязвимости беспроводных сетей

При построении беспроводных сетей также стоит проблема обеспечения их безопасности. Если в обычных сетях информация передается по проводам, то радиоволны, используемые для беспроводных решений, достаточно легко перехватить при наличии соответствующего оборудования. Принцип действия беспроводной сети приводит к возникновению большого числа возможных уязвимостей для атак и проникновений.

Главное отличие между проводными и беспроводными сетями - наличие неконтролируемой области между конечными точками беспроводной сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить ряд нападений, которые невозможны в проводном мире.

При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают .

Перечислим основные уязвимости и угрозы беспроводных сетей.

Вещание радиомаяка. Точка доступа включает с определенной частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своем присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая, как правило, SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть. Вещание радиомаяка является «врожденной патологией» беспроводных сетей. Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, тем не менее, посылается при подключении, поэтому все равно существует небольшое окно уязвимости.

Подслушивание. Подслушивание ведут для сбора информации о сети, которую предполагается атаковать впоследствии. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Беспроводные сети по своей природе позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Например, подключиться к беспроводной сети, располагающейся в здании, может человек, сидящий в машине на стоянке рядом. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Ложные точки доступа в сеть. Опытный атакующий может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои важные реквизиты, например аутентификационную информацию. Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.

Отказ в обслуживании. Полную парализацию сети может вызвать атака типа DoS (Denial of Service) - отказ в обслуживании. Ее цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети - абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр на рабочей частоте помехами и нелегальным трафиком - такая задача не вызывает особых трудностей. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети трудно доказать.

Атаки типа «человек-в-середине». Атаки этого типа выполняются на беспроводных сетях гораздо проще, чем на проводных, так как в случае проводной сети требуется реализовать определенный вид доступа к ней. Обычно атаки «человек-в-середине» используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложные, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Он использует возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для удовлетворения некоторых своих целей, например для спуфинга IP-адресов, изменения МАС-адреса для имитирования другого хоста и т. д.

Анонимный доступ в Интернет. Незащищенные беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет. Хакеры могут использовать незащищенную беспроводную ЛВС организации для выхода через нее в Интернет, где они будут осуществлять противоправные действия, не оставляя при этом своих следов. Организация с незащищенной ЛВС формально становится источником атакующего трафика, нацеленного на другую компьютерную систему, что связано с потенциальным риском правовой ответственности за причиненный ущерб жертве атаки хакеров [1-2].


.4Технологии обнаружения атак


По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.


.4.1 Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей.

Статистический метод. Основные преимущества статистического подхода - использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

«статистические» системы не чувствительны к порядку следования событий;

трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети. Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетево- го представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.


1.4.2Классификация систем обнаружения атак IDS

Механизмы, применяемые в современных системах обнаружения атак IDS (Intrusion Detection System), основаны на нескольких общих методах, которые не являются взаимоисключающими. Во многих системах используются их комбинации.

Классификация IDS может быть выполнена:

по способу реагирования;

способу выявления атаки;

способу сбора информации об атаке.

По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, путем реконфигурации МЭ или генерации списков доступа маршрутизатора.

По способу выявления атаки системы IDS принято делить на две категории:

обнаружение аномального поведения (anomaly-based);

обнаружение злоупотреблений (misuse detection или signature-based).

Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя (т. е. атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п.

Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании» («denial of service»).

Технология обнаружения аномалий ориентирована на выявление новых типов атак. Однако недостаток ее - необходимость постоянного обучения. Пока эта технология не получила широкого распространения. Связано это с тем, что она трудно реализуема на практике.

Обнаружение злоупотреблений заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная технология обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные атаки. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды атак.

Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Наиболее популярна классификация по способу сбора информации об атаке:

обнаружение атак на уровне сети (network-based);

обнаружение атак на уровне хоста (host-based);

обнаружение атак на уровне приложения (application-based).

Система network-based работает по типу сниффера, «прослушивая» трафик в сети и определяя возможные действия злоумышленников. Такие системы анализируют сетевой трафик, используя, как правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.

Системы host-based предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Располагаясь на защищаемом хосте, они проверяют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или приложения.

Система application-based основана на поиске проблем в определенном приложении.

Каждый из этих типов систем обнаружения атак (на уровне сети, на уровне хоста и на уровне приложения) имеет свои достоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий.


.4.3Компоненты и архитектура IDS

На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак.

Модуль слежения обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т. д.

В зависимости от архитектуры построения системы обнаружения атак модуль слежения может быть физически отделен от других компонентов, т. е. находиться на другом компьютере.

Подсистема обнаружения атак - основной модуль системы обнаружения атак. Она осуществляет анализ информации, получаемой от модуля слежения. По результатам этого анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т. д.

База знаний в зависимости от методов, используемых в системе обнаружения атак, может содержать профили пользователей вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обнаружения атак, пользователем системы или третьей стороной, например аутсорсинговой компанией, осуществляющей поддержку этой системы.

Хранилище данных обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения атак.

Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс. В зависимости от ОС, под управлением которой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix.

Подсистема реагирования осуществляет реагирование на обнаруженные атаки и иные контролируемые события.

Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения атак. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированной атаке). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.

Системы обнаружения атак строятся на основе двух архитектур: «автономный агент» и «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления.

Распределенная система обнаружения атак dIDS состоит из следующих подсистем: консоли управления, анализирующих серверов, агентов сети, серверов сбора информации об атаке. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса. Агент сети - один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой - сообщать об атаке на центральный анализирующий сервер. Сервер сбора информации об атаке - часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

IP-адресу атакующего;

порту получателя;

номеру агента;

дате, времени;

протоколу;

типу атаки и т. д.


.4.4Методы реагирования

Атака не только должна быть обнаружена, но и необходимо правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

уведомление;

сохранение;

активное реагирование.

Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.

Сохранение. К категории «сохранение» относятся два варианта реагирования:

регистрация события в БД;

воспроизведение атаки в реальном масштабе времени.

Активное реагирование. К этой категории относятся следующие варианты реагирования:

блокировка работы атакующего;

завершение сессии с атакующим узлом;

управлением сетевым оборудованием и средствами защиты.

IDS могут предложить такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС [2].


Вывод


В теоритической части я рассмотрел виды сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Так же я рассмотрел проблемы безопасности IP-сетей, угрозы и уязвимости сетей. Рассмотрел технологии обнаружения атак, методы анализа сетевой информации, методы реагирования. Мною была рассмотрена классификация систем обнаружения атак IDS и компоненты и архитектура IDS.

II. Практическая часть


.1 Концепция XSpider 7


Разрабатывая XSpider, специалисты преследовали цель создать профессиональный продукт, который:

·отличается бескомпромиссным качеством работы, без которого польза от применения сканера безопасности становится сомнительной, независимо от наличия других достоинств

·характеризуется разумной ценой и стоимостью владения, поскольку информационная безопасность призвана предотвращать потери, а не увеличивать их

·одинаково удобен в использовании для компании любого масштаба (от единиц до десятков тысяч обслуживаемых узлов).

Вот почему XSpider создавался в первую очередь не программистами, а экспертами по информационной безопасности, которым был необходим профессиональный инструмент самого высокого качества.

С одной стороны, специалисты определяли требования к продукту, главная задача которого - обеспечить максимальную эффективность мониторинга сетевой безопасности. Эффективность этого процесса зависит не только (и даже не столько) от функциональных возможностей, сколько от качества работы сканирующего ядра, которое должно быть на самом высоком уровне.

С другой стороны, эксперты проектировали интеллектуальные алгоритмы и механизмы поиска уязвимостей, максимально приближенные к тем, которые используются в реальной жизни для попыток нарушения безопасности сетей. В противном случае вы никогда не можете быть уверены, что располагаете тем же объемом информации об уязвимостях защищаемой сети, который доступен потенциальному злоумышленнику.разрабатывается и совершенствуется уже более 9 лет, аккумулируя в себе опыт и знания многих специалистов, занимающихся решением практических задач в области информационной безопасности.


.2 Ключевые особенности


Хотя сам XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco (не исключая, конечно, *nix, Solaris, Novell, AS400 и т.д.)

Что немаловажно, XSpider работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений (например, интернет-магазинов). Некоторые производители разрабатывают для этого отдельные продукты, XSpider является универсальной системой, причем это ни в коей мере не идет в ущерб качеству каждой из отдельных возможностей.


.2.1Особенности сканирующего ядра

·Полная идентификация сервисов на случайных портах

·Дает возможность проверки на уязвимость серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты

·Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы

·Служит для определения настоящего имени сервера и корректной работы проверок в тех случаях, если конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое

·Обработка RPC-сервисов (Windows и *nix) с их полной идентификацией

·Обеспечивает возможности определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом

·Проверка слабости парольной защиты

·Производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли

·Глубокий анализ контента WEB-сайтов

·Анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских) и поиск в них разнообразных уязвимостей: SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting.

·Анализатор структуры HTTP-серверов

·Позволяет осуществлять поиск и анализ директорий доступных для просмотра и записи, давая возможность находить слабые места в конфигурации

·Проведение проверок на нестандартные DoS-атаки

·Существует возможность включения проверок "на отказ в обслуживании", основанных на опыте предыдущих атак и хакерских методах

·Специальные механизмы, уменьшающие вероятность ложных срабатываний

·В различных видах проверок используются специально под них разработанные методы, уменьшающие вероятность ошибочного определения уязвимостей

·Ежедневное добавление новых уязвимостей и проверок

·Оригинальная технология обновления программы не только позволяет пользователям каждый день иметь актуальную базу уязвимостей при минимальном трафике и временных затратах не прекращая при этом работы программы, но и обеспечивает регулярный update программных модулей по мере их совершенствования.


.2.2Надежность

·Надежность работы при нестандартных конфигурациях ПО

(сервисы, установленные на необычных портах, "обманные" баннеры, возвращаемые сервисами и т.п.).

·Надежность работы при низком качестве TCP-связи

(В особо тяжелых случаях, XSpider всегда предупреждает о возможности недостоверной диагностики.)

·Возможность определять еще не опубликованные уязвимости при помощи интеллектуальных эвристических алгоритмов.

·Крайне низкая вероятность пропуска существующей уязвимости


.3 Иллюстрации интерфейса XSpider 7.8


Окно управления сканированиями показано на рисунке 1.

(Рис. 1)


Окно документа сканирования показано на рисунке 2.


(Рис. 2)


Диалог создания отчета представлен на рисунке 3.

(Рис. 3)


.4 Автоматизация


Если рассматривать автоматизацию работы XSpider в целом, то после первичной настройки программы с учетом спицифики конкретной сети (или сетей) специалисту останется только получать регулярные отчеты об уязвимостях (по e-mail или другими способами), чтобы проанализировать их. Изменять настройки потребуется только в случае изменений самой сети или принятой политики безопасности.

Звучит все это заманчиво, но самое важное, что и делается это не намного сложнее. Единственный ответственный момент - это этап предварительного планирования (который, собственно, не связан с работой самого XSpider), во время которого требуется выделить логические группы хостов, определить для них правила (профили) и расписания сканирования, назначить людей, которые будут получать те или иные отчеты.

После этого в XSpider следует создать нужные Задачи и с помощью утилиты XSpider Scheduler (управление ей встроено в единый интерфейс пользователя) каждой Задаче присвоить задание на автоматизацию. Для последней операции имеется Wizard, состоящий всего из трех шагов и требующий около минуты на Задачу.

Чтобы еще больше минимизировать время профессионалов, затрачиваемое на работу с XSpider, возможна генерация и отсылка отчетов только при определенных обстоятельствах [5].


Вывод


Я рассмотрел концепцию сканера XSpider7, особенности сканирующего ядра. Так же я рассмотрел его надежность и автоматизацию, без которой невозможна эффективная работа. Рутинные и трудоемкие задачи возложены на программу, а задачи, связанные с принятием решений, оставлены в компетенции специалистов.


Заключение

атака сеть безопасность беспроводный

Курсовая работа состоит из теоретической и практической части.

Теоретическая часть состоит из классификации сетевых атак по уровню модели OSI4, по типу, по местоположению злоумышленника и атакуемого объекта; Из анализа угроз сетевой безопасности, проблем безопасности IP-сетей, угроз и уязвимостей проводных корпоративных сетей, угроз и уязвимостей беспроводных сетей, методов анализа сетевой информации, классификации систем обнаружения атак IDS, компонентов и архитектуры IDS, методов реагирования. В практической части мною был рассмотрен сканер XSpider 7, его концепция и особенности. При разработке теоретической части были использованы следующие источники информации и литературы[1-4], которые показаны в разделе «Использованная литература и источники». При разработке практической части был использован следующий источник информации [5], который показаны в разделе «Использованная литература и источники».

Курсовой проект выполнен самостоятельно в соответствии с техническим заданием и в срок.

Использованные литература и источники информации


.Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях».

.Шаньгин В.Ф. «Информационная безопасность компьютерных систем и сетей»

3.Компьютерные атаки и технологии их обнаружения -#"justify">4.Курс лекций по дисциплине Защита информационных процессов в компьютерных системах

5.Positive Technologies - http://www.ptsecurity.ru/


КУРСОВАЯ РАБОТА На тему: Программно технические средства обнаружения сетевых атак на ЛВС

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ