Средства защиты от сетевых атак - IT Справочник
Llscompany.ru

IT Справочник
11 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Средства защиты от сетевых атак

Защита от сетевых атак

Главные цели киберпреступников — дестабилизация работы сайтов и серверов либо их полный вывод из строя, добыча скрытой информации (конфиденциальные данные пользователей, тексты документов).

Разновидности сетевых атак и методики защиты от них

На сегодняшний день известны следующие виды сетевых атак:

  • mailbombing;
  • применение специализированных приложений;
  • переполнение буфера;
  • сетевая разведка (сбор сведений при помощи приложений, находящихся в свободном доступе);
  • IP-спуфинг (хакер выдает себя за законного пользователя);
  • DDOS-атака (путем перегрузки обслуживание обычных пользователей делается невозможным);
  • Man-in-the-Middle (внедрение с целью получения пакетов, передаваемых внутри системы);
  • XSS-атака (ПК клиента подвергаются атаке через уязвимости на сервере);
  • фишинг (обман жертвы путем отправки сообщений с якобы знакомого адреса).

О первых трех вариантах стоит рассказать отдельно, так как они самые сложные и самые распространенные.

Mailbombing

Суть действия в том, что e-mail пользователя буквально заваливается письмами. Для этого используется массовая рассылка. Цель — отказ работы почтового ящика или всего почтового сервера.

Для проведения этой атаки не нужны особые навыки. Достаточно знать электронный адрес потенциальной жертвы и адрес сервера, с которого можно отправлять сообщения анонимно.

Первое правило защиты, к которому может прибегнуть каждый, — не давать адрес своего почтового адреса сомнительным источникам. Специалисты задают определенные настройки на web-сайте провайдера. Лимит количества писем, поступающих с определенного IP, ограничен. Когда приложение «видит», что число сообщений перевалило предел нормы, письма «на автомате» отправляются в корзину. Но ничто не мешает преступнику проводить рассылку с разных адресов.

Специальные программы

Использование особых приложений — самый распространенный способ вывода серверов из строя. В ход идут вирусы, трояны, руткиты, снифферы.

Вирус — вредоносный софт, заточенный на выполнение определенной функции. Внедряется в другие программы (легальные в том числе) на ПК жертвы. После встраивания приступает к осуществлению прописанной «миссии». Например, проводит шифровку файлов, блокирует загрузку компьютерной платформы, прописав себя в BIOS, и т.д.

«Троянский конь» — это уже не программная вставка, а полноценное вредоносное приложение, которое маскируется под безобидное. Троян может выглядеть, к примеру, как игра. Если пользователь ее запустит, начнется распространение файла. Программа рассылает свои копии по всем электронным адресам, которые есть на ПК жертвы. Чаще всего «троянский конь» похищает данные банковских карт, электронных кошельков — словом, стремится получить доступ к финансовым ресурсам.

Сниффер ворует пакеты данных, переправляемых ПК на разные сайты. Для этого используется сетевая плата, функционирующая в режиме promiscuous mode. В таком режиме все пакеты, переправленные через карту, отправляются на обработку приложению. Таким образом, может быть открыт доступ к конфиденциальным сведениям — например, списку паролей и логинов от банковских счетов.

Руткит скрывает следы преступлений злоумышленников, маскирует вредоносную деятельность, из-за чего администратор не замечает происходящего.

Переполнение буфера

Злоумышленник занят поиском программных или системных уязвимостей. При обнаружении таковых провоцируется нарушение границ оперативной памяти, работа приложения завершается в аварийном режиме, выполняется любой двоичный код.

Защита состоит в том, чтобы обнаружить и устранить уязвимости. Также используются неисполнимые буфера, но этот метод способен предотвратить только те атаки, в которых применяется код.

Способы защиты от сетевых атак:

  1. Шифрование данных. Не является защитой как таковой, но в случае утечки информации злоумышленник не прочитает ее.
  2. Установка антивирусов и их своевременное обновление.
  3. Применение программ, блокирующих действие снифферов и руткитов.
  4. Использование межсетевого экрана. Этот элемент выполняет роль фильтра всего проходящего через него трафика.

Комплексная защита от сетевых атак

Наша компания выпускает комплексный продукт ИКС, способный обеспечить защиту Вашего компьютера «по всем фронтам». В функционал входит:

и многое другое.

Интернет Контроль Сервер — это универсальное и эффективное средство контроля над внутренними сетями любой организации вне зависимости от ее сферы деятельности. ИКС позволит защитить данные корпоративной сети.

Настройка программы проста в исполнении, с помощью документации и видеоуроков с ней справится даже начинающий пользователь.

Средства защиты от сетевых атак

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Сетевые атаки можно условно разделить на следующие типы:

  • Сканирование портов. Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
  • DoS-атаки, или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

Существуют следующие основные типы DoS-атак:

  • Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
  • Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.
  • Сетевые атаки-вторжения. Это сетевые атаки, целью которых является «захват» операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

    Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак снимите флажок Включить Защиту от сетевых атак .
  • Вы также можете включить Защиту от сетевых атак в Центре защиты. Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

    Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

    При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
  • Нажмите на кнопку Исключения .

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  • Откройте закладку Заблокированные компьютеры .
  • Если вы уверены, что заблокированный компьютер не представляет угрозы, выберите его IP-адрес в списке и нажмите на кнопку Разблокировать .

    Откроется окно подтверждения.

    В окне подтверждения выполните одно из следующих действий:

      Если вы хотите разблокировать компьютер, нажмите на кнопку Разблокировать .

    Kaspersky Internet Security разблокирует IP-адрес.

    Если вы хотите, чтобы Kaspersky Internet Security никогда не блокировал выбранный IP-адрес, нажмите на кнопку Разблокировать и добавить к исключениям .

    Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

  • Нажмите на кнопку Сохранить , чтобы сохранить изменения.
  • Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

    1. В строке меню нажмите на значок программы.
    2. В открывшемся меню выберите пункт Настройки .

    Откроется окно настройки программы.

  • На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак .
  • Нажмите на кнопку Исключения .

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  • Откройте закладку Исключения .
  • Отредактируйте список доверенных компьютеров:
    • Чтобы добавить IP-адрес в список доверенных компьютеров:
      1. Нажмите на кнопку .
      2. В появившемся поле введите IP-адрес компьютера, в безопасности которого вы уверены.
    • Чтобы удалить IP-адрес из списка доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку .
    • Чтобы изменить IP-адрес в списке доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку Изменить .
      3. Измените IP-адрес.
  • Нажмите на кнопку Сохранить , чтобы сохранить изменения.
  • При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

    1. Откройте меню Защита .
    2. Выберите пункт Отчеты .

    Откроется окно отчетов Kaspersky Internet Security.

  • Откройте закладку Защита от сетевых атак .
  • Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.

    Сводную статистику по Защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.

    Читать еще:  Антивирус для сайта онлайн

    Существующие методы и средства защиты от информационных атак

    Последствия информационных атак

    Последствия, к которым могут привести информационные атаки, могут по-разному рассматриваться исходя из той или иной ситуации. Так, например, одно и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании — приостановкой одного из важнейших бизнес-процессов предприятия. Последствия информационных атак могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в АС. Так, например, воздействие на аппаратное обеспечение может быть направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой атаки может быть изменён пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведёт к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.

    В настоящее время существует большое количество организационных и технических мер защиты, которые могут использоваться для защиты от информационных атак. организационные и технические. Организационные средства связаны с разработкой и внедрением на предприятиях нормативно-правовых документов, определяющих требования к информационной безопасности АС. Примерами таких документов являются политика и концепция обеспечения информационной безопасности, должностные инструкции по работе персонала с АС и т.д. Технические же средства защиты АС реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных комплексов.

    На сегодняшний день можно выделить следующие основные виды технических средств защиты:

    · средства криптографической защиты информации;

    · средства разграничения доступа пользователей к ресурсам АС;

    · средства межсетевого экранирования;

    · средства анализа защищённости АС;

    · средства обнаружения атак;

    · средства антивирусной защиты;

    · средства контентного анализа;

    · средства защиты от спама.

    Средства криптографической защиты информации представляют собой средства вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности. Защита информации может осуществляться в процессе её передачи по каналам связи или в процессе хранения и обработки информации на узлах АС. Для решения этих задач используются различные типы СКЗИ, описание которых приводится ниже.

    Средства разграничения доступа предназначены для защиты от несанкционированного доступа к информационным ресурсам системы. Разграничение доступа реализуется средствами защиты на основе процедур идентификации, аутентификации и авторизации пользователей, претендующих на получение доступа к информационным ресурсам АС.

    На этапе собственной идентификации пользователь предоставляет свой идентификатор, в качестве которого, как правило, используется регистрационное имя учётной записи пользователя АС. После представления идентификатора, проводится проверка того, что этот идентификатор действительно принадлежит пользователю, претендующему на получение доступа к информации АС. Для этого выполняется процедура аутентификации, в процессе которой пользователь должен предоставить аутентификационный параметр, при помощи которого подтверждается принадлежность идентификатора пользователю. В качестве параметров аутентификации могут использоваться сетевые адреса, пароли, симметричные секретные ключи, цифровые сертификаты, биометрические данные (отпечатки пальцев, голосовая информация) и т.д. Необходимо отметить, что процедура идентификации и аутентификации пользователей в большинстве случаев проводится одновременно, т.е. пользователь сразу предъявляет идентификационные и аутентификационные параметры доступа.

    В случае успешного завершения процедур идентификации и аутентификации проводится авторизация пользователя, в процессе которой определяется множество информационных ресурсов, с которыми может работать пользователь, а также множество операций которые могут быть выполнены с этими информационными ресурсами АС. Присвоение пользователям идентификационных и аутентификационных параметров, а также определение их прав доступа осуществляется на этапе регистрации пользователей в АС (рис. 3).


    Рис. 3. Процедура входа пользователя в автоматизированную систему

    Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путём удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АС.

    Средства анализа защищённости выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АС. Системы анализа защищённости являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АС, анализа исполняемого кода ПО АС или анализа настроек программно-аппаратного обеспечения АС.

    Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа «троянский конь», «spyware» и «adware».

    Средства защиты от спама обеспечивают выявление и фильтрацию незапрошенных почтовых сообщений рекламного характера. В ряде случаев для рассылки спама используется вредоносное программное обеспечение, внедряемое на хосты АС и использующее адресные книги, которые хранятся в почтовых клиентах пользователей. Наличие спама в АС может привести к одному из следующих негативных последствий:

    · нарушение работоспособности почтовой системы вследствие большого потока входящих сообщений. При этом может быть нарушена доступность как всего почтового сервера, так и отдельных почтовых ящиков вследствие их переполнения. В результате пользователи АС не смогут отправлять или получать сообщения при помощи почтовой системы организации;

    · реализация «phishing»-атак, в результате которых пользователю присылается почтовое сообщение от чужого имени с просьбой выполнить определённые действия. В таком сообщении пользователя могут попросить запустить определённую программу, ввести своё регистрационное имя и пароль или выполнить какие-либо другие действия, которые могу помочь злоумышленнику успешно провести атаку на информационные ресурсы АС. Примером атаки этого типа является посылка пользователю сообщения от имени известного банка, в котором содержится запрос о необходимости смены пароля доступа к ресурсам Web-сайта банка. В случае если пользователь обратится по Интернет-адресу, указанному в таком почтовом сообщении, то он будет перенаправлен на ложный Web-сайт злоумышленника, представляющий собой копию реального сайта банка. В результате такой атаки вся парольная информация, введённая пользователем на ложном сайте, будет автоматически передана нарушителю;

    · снижение производительности труда персонала вследствие необходимости ежедневного просмотра и ручного удаления спамовских сообщений из почтовых ящиков.

    Средства контентного анализа предназначены для мониторинга сетевого трафика с целью выявления нарушений политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа — системы аудита почтовых сообщений и системы мониторинга Интернет-трафика. Системы аудита почтовых сообщений предполагают сбор информации о SMTP-сообщениях, циркулирующих в АС, и её последующий анализ с целью выявления несанкционированных почтовых сообщений, нарушающих требования безопасности, заданные администратором. Так, например, системы этого типа позволяют выявлять и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Системы мониторинга Интернет-трафика предназначены для контроля доступа пользователей к ресурсам сети Интернет. Средства защиты данного типа позволяют заблокировать доступ пользователей к запрещённым Интернет-ресурсам, а также выявить попытку передачи конфиденциальной информации по протоколу HTTP. Системы мониторинга устанавливаются таким образом, чтобы через них проходил весь сетевой трафик, передаваемый в сеть Интернет.

    Системы обнаружения атак представляют собой специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АС посредством сбора и анализа данных о событиях, регистрируемых в системе. Система обнаружения атак включает в себя следующие компоненты:

    · модули-датчики, предназначенные для сбора необходимой информации о функционировании АС. Иногда датчики также называют сенсорами;

    · модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;

    · модуль реагирования на обнаруженные атаки;

    · модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;

    · модуль управления компонентами средств обнаружения атак.

    Защита сетевого периметра от вирусных атак

    Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации, еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.

    В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.

    Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.

    Можно выделить следующие основные угрозы информационной безопасности:

    • Шифровальщики.
    • Ботнеты.
    • Фишинг.
    • Атаки на веб-приложения.
    • Уязвимости в популярных операционных системах.
    • Уязвимости в прикладном ПО (офисные приложения, браузеры и др.).
    • Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или «черными поисковиками»).
    • Таргетированные (целевые) атаки.

    Эшелонированная оборона

    Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).

    Читать еще:  Конфиденциальность и безопасность в сети xbox

    Эволюция средств защиты

    Естественно, для борьбы с современными угрозами необходимы современные средства защиты.

    Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.

    Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.

    Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.

    На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функциями, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.

    Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).

    Различие между UTM и NGFW — вопрос дискуссионный. Основное их отличие от устаревших типов решений — наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях — и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпрометированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.

    Каким должно быть решение для защиты периметра

    Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.

    Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:

    • Решение должно быть безопасным.
      Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса.
    • Оно должно быть современным.
      Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в интернет операционную систему Windows: она наиболее уязвима для различного вида атак — и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro.
    • Решение должно быть простым.
      С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов, у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика.
    • Оно должно быть комплексным.
      Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.

    Рекомендации по защите

    Антивирусная проверка веб-трафика

    Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.

    В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от «Лаборатории Касперского» предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.

    Блокирование анонимайзеров и TOR

    Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.

    Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.

    В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.

    Контентная фильтрация трафика

    Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.

    Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других — они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.

    При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:

    • Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации).
    • Ботнеты.
    • Взлом (веб-сайты, содержащие хакерское ПО и утилиты).
    • Тайный сбор информации (блокирует активность adware и шпионского ПО).
    • Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей).
    • Центры распространения вредоносного ПО.
    • Центры управления и контроля (командные центры ботнетов).
    • Фишинг/мошенничество.
    • Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты).
    • Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы).

    Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.

    Предотвращение вторжений

    Один из важнейших модулей глубокого анализа трафика, который позволяет заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, также он ведёт журналирование инцидентов безопасности и различных аномалий.

    Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:

    • Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров).
    • Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности).
    • Блокировку известных IP-адресов злоумышленников, «хакерских» хостингов и зараженных хостов по обновляемой базе IP Reputation.

    Активация данного модуля существенно повышает общую безопасность сети и сервера.

    Контроль приложений

    Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.

    Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.

    Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.

    Фильтрация спама

    Email-адреса сотрудников, как правило, можно очень легко найти на сайтах компаний, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.

    Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:

    • Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
    • Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
    • Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
    • Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).

    В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.

    DNS-фильтрация

    Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.

    На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками, уже на уровне резолвинга DNS-адреса и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.

    Способы и средства защиты от сетевых атак в Единой информационно-телекоммуникационной системе органов внутренних дел Текст научной статьи по специальности «Компьютерные и информационные науки»

    Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Шимон Николай Степанович

    Рассматривается содержание наиболее эффективных способов защиты от сетевых атак в Единой информационно-телекоммуникационной системе органов внутренних дел. Приводится характеристика используемых средств защиты

    Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Шимон Николай Степанович

    THE METHODS AND MEANS OF PROTECTION FROM NETWORK ATTACKS IN A UNITED TELECOMMUNICATION INFORMATION SYSTEM OF LAW ENFORCEMENT AGENCIES

    The substance of more effective methods of protection from network attacks in a united telecommunication-information system of low enforcement agencies is considered.The peculiarities of means of information protection are enumerated.

    Читать еще:  Не был загружен из соображений безопасности

    Текст научной работы на тему «Способы и средства защиты от сетевых атак в Единой информационно-телекоммуникационной системе органов внутренних дел»

    СПОСОБЫ И СРЕДСТВА ЗАЩИТЫ ОТ СЕТЕВЫХ АТАК В ЕДИНОЙ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЕ ОРГАНОВ ВНУТРЕННИХ ДЕЛ

    THE METHODS AND MEANS OF PROTECTION FROM NETWORK ATTACKS IN A UNITED TELECOMMUNICATION — INFORMATION SYSTEM OF LAW ENFORCEMENT AGENCIES

    Рассматривается содержание наиболее эффективных способов защиты от сетевых атак в Единой информационно-телекоммуникационной системе органов внутренних дел. Приводится характеристика используемых средств защиты

    The substance of more effective methods of protection from network attacks in a united telecommunication-information system of low enforcement agencies is considered. The peculiarities of means of information protection are enumerated.

    Практика обеспечения защиты информации в компьютерных сетях [1 ] позволила предложить ряд организационных способов и программно-аппаратных средств противодействия угрозам информационной безопасности Единой информационнотелекоммуникационной системы (ЕИТКС) органов внутренних дел (ОВД) [2].

    В соответствии с [3, 4] к организационным (административным) способам защиты от сетевых атак следует отнести :

    — защиту от анализа сетевого трафика;

    — защиту от ложного объекта, внедренного за счёт использования недостатков удалённого поиска;

    — защиту от навязывания ложного маршрута;

    — защиту от отказа в обслуживании;

    — защиту от подмены одной из сторон.

    К программно-аппаратным средствам защиты от сетевых атак следует отнести средства Firewall, обеспечивающие :

    — фильтрацию сетевого трафика;

    — дополнительную идентификацию и аутентификацию пользователей;

    — обнаружение атак [5];

    и средства криптографической защиты сетевых операционных систем и сетевых протоколов [1].

    Рассмотрим перечисленные способы и средства.

    Защита от анализа сетевого трафика. Одним из наиболее эффективных способов защиты от сетевых атак данного типа является запрет на использование базовых прикладных протоколов удалённого доступа TELNET и FTP, не предусматривающих криптозащиту передаваемых по сети идентификаторов и аутентификаторов. Подобная атака может стать бессмысленной при применении стойких криптографических алгоритмов защиты IP-потока.

    Защита от ложного объекта, внедрённого за счёт использования недостатков удалённого поиска. Для ликвидации данной атаки необходимо устранить причину её возможного осуществления, которая заключается в отсутствии у операционной системы каждого сетевого компьютера необходимой информации о соответствующих адресах всех остальных сетевых компьютеров внутри данного сегмента сети. Таким образом, самое простое решение — создать сетевым администратором статическую таблицу в виде

    файла, куда внести необходимую информацию об адресах. Данный файл устанавливается на каждый сетевой компьютер внутри сегмента, и, следовательно, нет необходимости реализации сетевой операционной системой процедуры удалённого поиска.

    Защита от навязывания ложного маршрута. Для защиты от данной атаки необходимо либо фильтровать сообщение о маршруте, не допуская его попадания на конечный объект, либо соответствующим образом настраивать сетевую операционную систему для игнорирования этого сообщения.

    Защита от отказа в обслуживании. Единственным способом противодействия данной атаке является использование как можно более производительных компьютеров. Чем больше число и частота работы процессоров, чем больше объём оперативной памяти, тем более надёжной будет работа сетевой операционной системы, когда на неё обрушится поток ложных запросов на создание соединения.

    Защита от подмены одной из сторон. Основным способом защиты от подобных сетевых атак является использование в качестве базового протокола TCP и сетевых операционных систем, в которых начальное значение идентификатора TCP-соединения генерируется случайным образом.

    Многоуровневая фильтрация сетевого трафика. Фильтрация обычно происходит на четырёх уровнях OSI:

    — транспортном (TCP, UDP);

    — прикладном (FTP, TELNET, HTTP, SMTP и т.д.).

    Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимые действия по разрешению или запрету пользователям на доступ как из внешней сети к соответствующим службам сетевых компьютеров или самим компьютерам, находящимся в защищаемом сегменте сети, так и на доступ пользователей из внутренней сети к ресурсам внешней сети. Это достигается назначением соответствующих отношений между пользователями сети и её объектами, что позволяет разграничить доступ пользователей к объектам сети в соответствии с заданными администратором правами доступа. При Firewall- фильтрации в качестве субъектов взаимодействия будут выступать IP-адреса сетевых компьютеров пользователей, а в качестве объектов, доступ к которым необходимо разграничить, — используемые транспортные протоколы и службы предоставления удалённого доступа.

    Proxy-схема с дополнительной идентификацией и аутентификацией пользователей через Firewall. Proxy- (от англ. полномочный) схема позволяет при доступе к защищённому Firewall сегменту сети осуществить на нём дополнительную идентификацию и аутентификацию удалённого пользователя. Proxy-схема обеспечивает создание соединения с конечным адресатом через промежуточный proxy- сервер на Firewall сетевого компьютера.

    Создание частных сетей с виртуальными IP-адресами. Когда администратору безопасности сети необходимо скрыть истинную топологию своей внутренней IP-сети, он использует возможности системы Firewall для создания виртуальных сетей. В этом случае для адресации во внешнюю сеть через Firewall необходимо либо использовать на Firewall сетевого компьютера proxy-серверы, либо применять только специальные системы маршрутизации, обеспечивающие внешнюю адресацию. Это является следствием того, что используемый во внутренней частной сети виртуальный IP-адрес непригоден для внешней адресации. В этом случае proxy-сервер должен осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса.

    SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети. Естественным решением проблемы защиты от

    сетевых атак является разработка различных защищённых сетевых протоколов, использующих криптосистемы как с закрытым [6], так и с открытым ключом [7]. Классические симметричные криптосистемы предполагают наличие у передающей и принимающей сторон симметричных (одинаковых) ключей для шифрования и расшифровывания сообщений.

    Эти ключи предварительно распределяются между конечным числом абонентов, что накладывает ограничения на их количество.

    Проблема распределения ключей в РВС с симметричной системой шифрования для всех её пользователей в настоящее время является крайне актуальной. Одной из попыток решения этой проблемы явилось создание защищённых протоколов обмена, основанных на предварительном (статическом) распределении ключей для конечного числа абонентов.

    Вместе с тем для организации криптографической защиты информации всех пользователей РВС, а не ограниченного их количества необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи, применяя криптографические системы с открытым ключом. Рассмотрим основные подходы и протоколы, обеспечивающие защиту соединения.

    SKIP-технология (Secure Key Internet Protocol). SKIP-технологией называется стандарт инкапсуляций IP-пакетов, позволяющий в существующем стандарте обмена информацией в РВС IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет — это обычный IP-пакет, в котором поле данных представляет собой заголовок определённого спецификацией формата и зашифрованные данные (криптограмму). Такая структура пакета позволяет беспрепятственно направлять его любому сетевому компьютеру. Получатель SKIP-пакета по заранее определённому разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передаёт соответствующему обычному модулю (TCP или UDP) ядра операционной системы.

    S-HTTP (Secure HTTP). S-HTTP — это защищённый HTTP-протокол, функционирующий на прикладном уровне модели OSI и позволяющий обеспечить эффективную криптографическую защиту HTTP-документов web-сервера. Существенный недостаток данного протокола — абсолютная специализация, что не позволяет его применить для защиты других прикладных протоколов (FTP, TELNET, SMTP и др.). Другим недостатком этого протокола является то обстоятельство, что ни один из существующих web-браузеров (Netscape Navigator, Microsoft Explorer) не поддерживает данный протокол.

    SSL (Secure Socket Layer). SSL — универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Он использует криптографическую систему с открытым ключом и является единственным универсальным средством, позволяющим динамически защитить какое угодно соединение с применением любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL в отличие от S-HTTP функционирует на промежуточном сеансовом уровне OSI — между транспортным (TCP, UDP) и прикладным (FTP, TELNET). При этом в процессе создания виртуального SSL-соединения генерируется криптографически стойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений.

    Протокол SSL является официальным стандартом защиты для HTTP-соединений, то есть для защиты web-серверов. Он поддерживается Netscape Navigator и Microsoft Explorer. Особеностью установки SSL-соедипения с web-сервером является необходимость наличия web-сервера, поддерживающего SSL (например, SSL-Apache).

    Из рассмотренного становится очевидным, что, несмотря на потенциальную уязвимость информационных процессов в ЕИТКС ОВД существуют достаточно эффективные способы защиты информационных ресурсов этих систем.

    1. Соколов А.В. Защита информации в распределённых корпоративных сетях и системах / А. В. Соколов, В.Ф. Шаньгин. — М.: ДМК Пресс, 2002. — 656 с.

    2. Финько В.Н. Механизмы реализации угроз информационной безопасности Единой информационно-телекоммуникационной системы органов внутренних дел / В.Н. Финько, Н.С. Шимон // Вестник Воронежского института МВД России.— 2008.— №4.— С. 164—169.

    3. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. — М.: Горячая линия — Телеком, 2002. — 176 с.

    4. Касперски К. Техника сетевых атак. Приемы противодействия. — М.: Солон-Р, 2001. — 397 с.

    5. Сердюк В. А. Перспективные технологии обнаружения информационных атак. // Системы безопасности. — 2002. — № 5(47). — С. 96—97.

    6. Основы криптографии: учебное пособие / А.П. Алфёров, А.Ю. Зубов, А.С. Кузьмин, А. В. Черёмушкин. — М.: Гелиос АРВ, 2001. — 484 с.

    7. Молдовян Н.А. Введение в криптосистемы с открытым ключом / Н.А. Мол-довян, А. А. Молдовян. — СПб.: БХВ — Петербург, 2005. — 288 с.

    Ссылка на основную публикацию
    ВсеИнструменты 220 Вольт
    Adblock
    detector