Компютърни мрежи и комуникации



страница15/18
Дата22.07.2016
Размер7.77 Mb.
1   ...   10   11   12   13   14   15   16   17   18

5.12.5. Изисквания към VPN мрежите

Необходимо да се осигури контролиран достъп на отдалеченото мрежово решение до ресурсите и информацията на организацията, тъй като се разрешава се на отдалечения клиент да се свързва към ресурсите на локалната мрежа. Решението трябва да позволява на отдалечените офиси да се свързват един с друг, да споделят ресурси и информация, да се осигурява цялостност и неделимост на данните при преминаването им през Интернет. VPN решението трябва да отговаре на следните изисквания:



  • Автентификация на потребителя – проверка на идентичността на VPN клиента, ограничаване на VPN достъпа само на упълномощени потребители;

  • Управление на адресите – назначаване на VPN клиенти на адрес в Интранет и да осигурява, използваните в Интранет адреси съхранение като частни;

  • Криптиране на данните - данни трябва да се пренасят като криптирани през Интернет;

  • Управление на ключовете - генериране и обновяване на декриптиращи ключове за криптираните данни.


5.12.6. Изграждане на VPN мрежи
Виртуалните частни мрежи могат да бъдат реализирани по няколко начина най-използваните, от които са:

  • За осигуряване на отдалечен достъп до мобилни служители или служители работещи от дома си;

  • За осигуряване на екстранет мрежа, до която да имат достъп служители, клиенти или партньори;

  • За осъществяване на контакт между два офиса в различни местоположения без за целта да е необходимо специална директна връзка.


5.12.6.1. VPN мрежи за отдалечен достъп
Използването на VPN за осигуряване на отдалечен достъп до потребители е най-често използвания метод за изграждане. Реализацията може да бъде усложнена от фактори като: използване на различни операционни системи и протоколите, които са инсталирани от страната на клиентите.

VPN клиентът трябва да може да използва протоколи, поддържани от VPN сървъра - тунелни, мрежови и транспортни протоколи както и протоколи за криптиране. След инсталиране и конфигуриране на компонентите на VPN, се установява връзката, както е показано на Фиг. 92. Редът за изграждане и пускане в експлоатация на такава мрежа е следният:



  • Мобилният потребител набира локален ISP (Internet Server Provider) доставчик и влиза с потребителски акаунт и парола, за да изгради Интернет връзка, ако клиентът използва наета или постоянна връзка;

  • След установяване на Интернет връзката, клиентът извиква сървъра за отдалечен достъп, конфигуриран да приема VPN връзки като използва IP адреса на отдалечения сървър и по този начин се изгражда тунела.;

  • Потребителят трябва да се автентифицира в частната мрежа, за да му се разреши определен достъп и права.


Работна

станция

Фиг. 92. Схема на връзките във VPN


5.12.6.2. Виртуален частен екстранет
Виртуален частен екстранет се създава, като част от LAN мрежата на организацията или на определеното нейно звено се разрешава достъп от отдалечени потребители по VPN връзка.

Един от основните проблеми е защитата на останалата част от вътрешната мрежа от външен достъп. Създава се отделна подмрежа за екстранет мрежата а останалата част от LAN мрежата се скрива зад защитна стена, за да може да и се осигури необходимата защита. Потребителите на екстранет осъществяват достъп до данни през Web браузър, затова в подмрежата с връзка към VPN трябва да се инсталира Web сървър, също така там могат да бъдат разположени и файлови сървъри.

Съществуващите перспективни стандарти улесняват организациите в използването по екстранет общи данни и приложения. Някои от тези стандарти са следните:


  • Hypertext Markup Language (HTML) - Позволява споделянето на документи през всеки Web браузър. На потребителите не е нужно да се инсталира конкретна програма за текстообработка или друга програма, за да отварят файловете;

  • Extensible Markup Language (XML) и Commerce XML (CXML) - Предлага между- платформена съвместимост;

  • Open Buying on the Internet (OBI) - Създава стандарти за транзакции на електронната търговия.


5.12.7. VPN връзки между филиални офиси
При създаването връзки между различни офиси се използва виртуална частна мрежа за свързване на двата офиса във VPN конфигурация от тип маршрутизатор-маршрутизатор. VPN сървърът може да функционира като маршрутизатор с разрешено IP препращане, както е показано на Фиг. 93.

Фиг. 93. VPNвръзка между офиси на фирма


LAN във всеки филиален офис има маршрутизирана връзка към Интернет. Тази връзка може да бъде комутируема или постоянно изградена.

При използване на комутируема връзка, маршрутизаторът, иницииращ връзката, използва dialup Интернет комуникация. Маршрутизаторът, който се извиква, трябва да има постоянна Интернет връзка и трябва да бъде конфигуриран за приемане на връзки от този вид (набиране при необходимост). На извикващия маршрутизатор се конфигурират две връзки с набиране при необходимост - едната за набиране на ISP и другата за свързване към VPN. Ако и двата маршрутизатора имат постоянни връзки към Интернет, VPN връзката може да бъде установена и оставена непрекъснато открита.

VPN връзки от типа маршрутизатор-маршрутизатор може да бъде конфигурирани така, че единият маршрутизатор да действа като клиент и да инициира връзката, а другият да функционира като VPN сървър. По този начин се реализира еднопосочна връзка и представлява добър избор за постоянни връзки. При двупосочната връзка всеки от маршрутизаторите може да инициира връзката. В този случай и двата маршрутизатора трябва да имат постоянна връзка към Интернет и трябва да бъдат настроени като LAN и WAN маршрутизатори.

При връзката маршрутизатор-маршрутизатор, маршрутните таблици и на двата маршрутизатора трябва да бъдат конфигурирани с необходимите маршрути, за да препращат пакети през връзката. Маршрутите могат да бъдат добавени ръчно или може да бъде използван протокол за динамична маршрутизация, ако интерфейсът за набиране има постоянна връзка. Може да бъде използван софтуер като vpnd (VPNdaemon) за свързване на две локални мрежи, използващи Linux или FreeBSD за защита на данните, преминаващи през съответната връзка и да се използва алгоритъмът за криптиране Blowfish.


5.12.8. Обосновка на VPN протоколите
Във VPN мрежите се използват три типа протоколи:

  • Тунелни протоколи - понякога означавани като VPN протоколи, те се из ползват за изграждане на тунели;

  • Протоколи за криптиране - означавани като протоколи за сигурност, използват се за криптиране на данните;

  • Мрежови/транспортни протоколи - означавани още като LAN протоколи, използват се за комуникация на съобшенията по частната мрежа.


Тунелните протокол капсулират данните така, че хедърите на протоколните единици от оригиналния протокол се обвиват в тунелни капсулиращите хедъри. За да могат VPN клиентът и сървърът да комуникират, на техните компютри е необходимо да се инсталира еднакъв стек от мрежови-транспортни протоколи. Тунелните протоколи се класифицират като стандартни и нестандартни.

Стандартните тунелни VPN протоколи са следните:



  • Point-to-Point Protocol (PPP );

  • Secure Shell (SSH) и Secure Shell 2 (SSH2);

  • Протокол IP Sec;

  • Point-to-Point Tunneling Protocol (PPTP);

  • Layer 2 Forwarding (L2F);

  • Layer 2 Tunneling Protocol (L2TP).


Прoтоколът PPP – е протокол за комуникация между два компютъра използващи сериен интерфейс. Типичен е за персоналните компютърни връзки по телефонна линия към сървър. PPP връзката се осигурява на каналния слой на OSI модела. Протокола РРР включва в себе си автентификации с помощта на PAP (Password Authentication Protocol), автентификация на парола и CHAP (Challenge Handshake Authentication Protocol) – протокол за автентификация чрез използване на съгласуване от двете крайни точки.

Протоколът SSH - представлява Unix базиран команден интерфейс и протокол за получаване на сигурен достъп на отдалечен компютър. Тази технология се използва широко от мрежовите администратори за WEB отдалечен контрол. SSH всъщност служи за няколко цели: slogin, ssh, и scp. SSH командите са криптирани и са подсигурени няколко пъти. Двете крайни точки на клиент-сървър връзката са автентични те използват цифров сертификат и паролите са защитени. SSH използва RSA криптиращ алгоритъм за двете връзки и автентикации. Другите криптиращите алгоритми, които могат да се използват са DES, Blowfish, и IDEA.

Първоначално SSH е предназначен за осигуряване на сигурна алтернатива на UNIX команди за отдалечен достъп, като rsh, rlogin и rep. SSH използва надеждно криптиране и автентикация. SSH2 е развит в сигурен тунелен протокол, който може да се използва за създаване на VPN мрежа, работеща под операционни системи Linux или UNIX. Типът на VPN мрежата, изградена с помощта на SSH2, се нарича VPN на ниво верига. Kлиентски софтуер на SSH е достъпен и за операционна система Windows.

Шлюзовете на ниво верига работят в сесийния слой на референтния OSI модел. Когато данните се предават до отдалечен компютър по шлюз на ниво верига, изглежда, че се предават от самия шлюз. Това позволява да се замаскира информация за защитени мрежи.

SSH може да бъде инсталиран на защитната стена, а тунелът да бъде изграден от SSH клиент с dail-up Интернет достъп до защитната стена. Тя може да бъде конфигурирана да препраща трафика до сървър по вътрешната мрежа. Това е лесно решение за VPN връзки, когато не се цели постигане на висока производителност. SSH изисква акаунт за логване, затова е най-подходящ в такива ситуации, като разрешаване на доверени служители да се свържат към малка офис мрежа от домовете им.



Протокол IPSec, може да бъде използван за криптиране на данни, които минават през тунела, изграден от друг VPN протокол. Той може да бъде използван също за изграждане на тунел, когато действа в режим на тунелиране, тогава IPSec може да бъде конфигуриран за защита на данните или между два IP адреса, или между две IP подмрежи. IPSec е разширение на IP протокола, което гарантира сигурност на IP и протоколите от по-висок ред.

IPSec може да използва един или и двата протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP) за да осигури автентикация, цялостност и поверителност на комуникацията. Той може да защитава или целия IP дейтаграм - тунелна форма, или само протоколите от по-висок ред - транспортна форма. Използването на комбинация от криптографско базирани алгоритми и ключове прави информацията много сигурна. Алгоритъмът на Дафи-Хелман позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежовата връзка.



Протоколът PPTP е на Microsoft с установен стандарт, той представлява разширение на протокола РРР, който се използва за изграждане на WAN връзка с отдалечен достъп. Принципа на работа на PPTP протокола е следния: РРТР капсулира РРР клетка, която може да бъде IP, IPX или NetBEUI пакет, във вътрешността на Generic Routing Encapsulation (GRE) хедър. Добавя IP хедър за осигуряване на IP адресите на източника и местоназначението. Адресът на източника е този на VPN клиента, а адресът на местоназначението е на VPN сървъра. Данните в оригиналната дейтаграма обикновено са криптирани, за да не могат да бъдат прочетени от неоторизирани лица. VPN мрежите на Microsoft използват протокола МРРЕ заедно с РРТР за осигуряване на сигурни комуникации.

PPTP-Linux е клиентски софтуер, който се изпълнява на Linux и UNIX машини, позволяващ да се установяви връзка към РРТР сървъри. Софтуерът на РРТР сървъра (РоРТоР) е достъпен за Linux, Sun Solaris, FreeBSD и други реализации на UNIX, също така той поддържа и Windows клиенти, както и РРТР-linux клиенти, и се разпространява безплатно.

PPTP се състои от два компонента: контролна връзка между всяка двойка PPTP Access концентратори (PAC) и PPTP Network Server (PNS) и IP тунел действащ между тази PAC-PNS двойка. Тунела служи да транспортира капсулирани PPP пакети за потребителски сесии между PPTP двойката. Контролната връзка е стандартна TCP сесия, отговаряща за установяването, управлението и освобождаването на тунела, това става с помощта на контролни съобщения, изпращани между PAC и PNS като контролни пакети в TCP дейтаграми. След като се създаде PPTP тунелът, данните на потребителя се изпращат от PAC и PNS във вид на IP дейтаграми, съдържащи PPP пакети.

МРРЕ се използва с РРТР-базирани VPN връзки (или РРР dial-up връзки) и може да използва криптиращ алгоритъм с 40, 56 или 128-битов ключ. 128 битовият ключ се използва за надеждно криптиране и може да бъде използван само в САЩ и Канада.



Протоколът L2F е разработен по технологията от Cisco през 1996 г. и включва в нея софтуер IOS – също разработен от Cisco. Като алтернатива на РРТР, L2F има възможност да използва протоколите на стандартите ATM и Frame Relay за тунелиране в глобални комуникационни мрежи. За да работи РРТР е необходима да е инсталиран и IP стека. При L2F това изискване не е задължително. L2F технологията осигурява автентификация на крайните точки на тунела във VPN.

Протоколът L2TP е разработен от Microsoft и Cisco. Комбинират се възможностите на РРТР и L2F и се създадава L2TP, който капсулира данните за изпращане по IP както РРТР, като L2TP може да капсулира данни за изпращане по стандарти ATM, Frame Relay и Х.25. По този начин той може да бъде използван за изграждане на тунел през Интернет, или може да бъде използван по конкретна WAN среда без необходимост от протокола IP. Някои от предимствата на L2TP пред РРТР са следните:

  • L2TP поддържа множество тунели между крайните точки. Това позволява създаването на отделни тунели, осигуряващи различни качества на услугите;

  • L2TP поддържа компресиране на хедъри, с което се намалява обема на допълнителната информация в протоколните единици;

  • L2TP за разлика от РРТР има възможност за тунелна автентификация;

  • L2TP работи на мрежи не изискващи протокола IP, изградени по ATM или Frame Relay стандарти.

L2TP комбинира най-доброто от решението на Microsoft Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Forwarding (L2F) на Cisco Systems. Отдалеченият потребител установява PPP връзка към мрежата на ISP. L2TP ползва два типа съобщения: контролни съобщения и съобщения за данни. Контролните съобщения се използват при установяването, поддържането и премахването на тунела, а съобщенията за данни капсулират PPP клетките, пренасяни по тунела. Контролните съобщения се изпращат по надежден контролен L2TP канал, за да се гарантира тяхното получаване. Контролните съобщения имат пореден номер, осигуряващ сигурното им транспортиране по контролния канал. Пореден номер се използва и при предаване на клетките от съобшенията, за да се подреждат в приемния пункт и да се установява евентулната загуба на пакети.

Нестандартни протоколи за изграждане на VPN мрежи са следните:



  • Протокол VTUN;

  • Crypto IP Encapsulation протокол (CIPE).


Протоколът VTun позволява да се ограничи входната и изходната скорост на тунелите за избягване на претоварвания на сървъра при наличие на голямо количество клиенти. Системата работи чрез уникалните драйвери tun и tap. Tun се използва за тунелиране на IP-пакети, а tap при тунелиране на Ethernet мрежи.

Протоколът CIPE представлява драйвер за ядрото на Linux, който може да бъде използван за осигуряване на сигурен тунел между две IP подмрежи. Данните се криптират в мрежовия слой на референтния OSI модел. Това се нарича криптиране на ниско ниво. То има предимство пред криптирането на високо ниво, защото не трябва да бъдат правени никакви промени на приложния софтуер, когато две мрежи се свързват с помощта на VPN технология. Освен това CIPE е по-прост и по-ефикасен от IPSec .



      1. Класификация на VPN мрежите

VPN мрежата може да бъде реализирана софтуерно или хардуерно. В следващите секции се разглеждат всяка от тези реализации, разликите между тях и начина, по който могат да бъдат комбинирани за повишаване на сигурността.



Софтуерно-базираните VPN мрежи включват използването на разгледаните по-горе тунелните протоколи. Тази категория може да бъде разделена допълнително на продукти на независими производители и VPN софтуер, поддържан от операционната система. Очевидното предимство на последните е тяхната ниска цена. Няма допълнително заплащане, a VPN решенията, включени в модерните операционни системи като Windows 2000, са достатъчни за нуждите на много организации. VPN софтуерните продукти на независимите производители обикновено предлагат допълнителни възможности и разширяват използваемостта на VPN, като често осигуряват повече опции за сигурност и в някои случаи по-лесно реализиране. Някои софтуерно-базирани VPN мрежи позволяват да се предават данни в тунела на базата на протокола или IP адреса. Този тип филтриране обикновено не е достъпен при хардуерно-базираните продукти. Продуктите на независимите производители включват Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite за операционна система Linux.

Хардуерно-базираните VPN мрежи се произвеждат от компании като Shiva, 3Com и VPNet Technologies. Поддръжката на VPN е вградена в маршрутизаторите на Cisco, както и в маршрутизаторите на други компании. NTS Tunnel-Builder осигурява сигурни VPN комуникации за Windows, NetWare и Macintosh. Такива производители като Raptor Systems предлагат VPN мрежи, базирани на защитни стени, които са комбинирани със средства за сигурност. Хардуерните VPN мрежи могат най-общо да бъдат категоризирани в следните две групи:

  • Базирани на маршрутизатори - VPN решения представляващи маршрутизатори с възможности за криптиране. Те предлагат по-добра производителност на мрежата и като цяло са по - лесни за инсталиране и използване;

  • Базирани на защитна стена - Решенията, базирани на защитна стена, осигуряват допълнителни мерки за сигурност, като сигурна автентификация и детайлно логване. Базираната на VPN защитна стена има възможност да преобразува адреси. Производителността и може да бъде проблем, макар че в някои реализации хардуерните криптиращи процесори решават тази задача.



5.12.10. Надеждност и сигурност на VPN мрежите
Надеждността на една система се определя от надеждността на най-слабия и елемент. Ето защо не е необходимо да се атакуват използваните криптографски алгоритми. Достатъчно е да се атакува един от компонентите на системата. Надеждността на една система зависи от:

  • Условията и външната среда в която тя работи;

  • Режима на работа;

  • Надеждност на елементите от които тя е изградена;

  • Вътрешната и надеждностна структура;

  • Възстановимостта на на съставните и части след отказ.

Сигурността на VPN има три компонента:



  • Автентификация на клиентите;

  • Оторизация на клиентите;

  • Криптиране на данните.


Автентификацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Автентификацията може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows 2000, използва IPSec за L2TP VPN мрежа, сертификатите на машините се обменят като част от изграждането на IPSec асоциация за сигурност. Потребителят може да бъде автентифициран с помощта на един от няколкото метода за автентификация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (PAP) или Shiva PAP (SPAP).

Оторизация означава зададените ограничения, на базата на които на едни потребители се предоставя достъп до VPN, a на други се отказва.

Криптирането служи за защита на данните във VPN мрежи. Могат да бъдат използвани най-различни технологии за криптиране. Много VPN реализации позволяват да се избере метода на криптиране, който трябва да бъде приложен. Криптирането осигурява сигурност на данни, които пътуват по VPN мрежата. Без тази сигурност данните биха могли лесно да бъдат прехванати, докато се предават по обществената мрежа.
5.12.11. Предимства и недостатъци на VPN мрежите
Предимствата на VPN мрежите са свързани с намаляване на разходите за междуградски разговори, когато отдалечените потребители се намират извън областта за набиране на локални номера. Тези мрежи изискват по-малко телефонни линии за осигуряване на отдалечен достъп до множество потребители едновременно. Също така изискват по-малко хардуерно оборудване, например банки от модеми. VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение.

Като недостатък може да се приеме изискването за връзка към Internet в двата края на VPN мрежата. Това може да бъде проблем, ако единият или двата края имат ненадеждна връзка към Интернет. Друг недостатък на VPN мрежите се състои в проблемите, свързани с производителността. Те могат да бъдат от незначителни до съществени, в зависимост от типа на реализацията на VPN и от типа на използваните Internet връзки. Проблемите на производителността, свързани с VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации.

Една от алтернативите на VPN мрежата е dial-up комуникацията. В някои случаи dial-up сървърът може да постигне същата цел както VPN мрежата, но при много други обстоятелства виртуалната мрежа има определени предимства пред услугата на dial-up сървъра за отдалечен достъп.

Проблемите свързани с производителността на VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации. Повечето сериозни проблеми на производителността се дължат на глобалната мрежа Интернет. Често възникват прекъсвания на достъпността от регионален и от всеобщ характер. Тежкият трафик може да предизвика забавяния и блокирания на системите. Освен това отделни ISP доставчици могат да се сблъскат с изключвания на сървъри, които обслужват стотици или дори хиляди свои потребители. Технологията на VPN мрежите може също да доведе до различни количества допълнителни служебни данни, които намаляват производителността. VPN мрежи на ниво вериги не могат да постигнат скоростта на виртуалните мрежи на ниво мрежа. Когато се използва обществената мрежа за установяване на връзката, се загубва елемента на контрол, който се реализира при директна входяща dial-up връзка.



ГЛАВА 6. СИГУРНОСТ В КОМПЮТЪРНИТЕ МРЕЖИ

6.1. Компютърна и мрежова сигурност

Сигурността е свойство на една система да противостои на външни или вътрешни дестабилизиращи фактори, които могат да доведат до нейното нежелателно състояние или поведение. Това важи и за сигурността на информационните системи. Базата на съвременните информационни системи – компютърните системи и мрежи, са едни от най-високотехнологичните продукти и въпреки това те не са безотказни. Даже да няма враждебни действия срещу тях, надеждното им функциониране не е неограничено. За да се поддържа то на необходимото ниво, още при проектирането на тези системи се внедряват апаратни, програмни и програмно-технически средства , които са предмет на друго изложение. В настоящата глава под компютърна и мрежова сигурност се разбира свойството на компютърните системи и мрежи да противодействат на опитите за несанкциониран достъп до обработваната и съхраняваната информация, водещи до деструктивни действия и получаване на лъжлива информация.

Не винаги има очевиден отговор на въпроса кои системни ресурси трябва да се защитят и на каква цена. Методите, които са достатъчно ефективни срещу атакуващи през модемите си тинейджери, са безсилни срещу непоколебимите професионални кракери. Друг въпрос е каква е цената на сигурността- има крехък баланс между твърде много и твърде малко сигурност.

Проблемите, свързани със защитата на компютърната информация доведоха до появата на нова научна и практическа дисциплина – информационна сигурност (ИС). Специалистите в тази област трябва да умеят да разработват, реализират и експлоатират системите за осигуряването на информационна сигурност (СИС). Тези системи поддържат цялостността, пригодността , конфиденциалността и достъпността на информацията и осигуряват физическа (на технически средства, свързочни линии, отдалечени компютри) и логическа (на данни, операционни системи, приложни програми) защита на информационните ресурси.

Компютърната и мрежова сигурност се гради върху следните концепции:



  • Идентификация – потребителите използват компютърните приложения чрез потребителски идентификатор (ID);

  • Автентификация – доказване на самоличността на потребителя;

  • Оторизация – присвояване на права за достъп на всеки потребител (например за запис, четене или изпълнение на файл);

  • Контрол на достъпа – присвояване на права за достъп до мрежови ресурси и предпазване на ресурсите чрез лимитиран достъп (кой, как, кога и при какви условия има достъп);

  • Конфиденционалност – защита на данните (чрез контрол на достъпа и криптиране);

  • Цялостност на данните (интегритет) – откриване на несанкционирана модификация на данните, обикновено при предаване на съобщението;

  • Доказване на източника на данните;

  • Управление на отказ от услуги (DoS) – предотвратяване препълването на лентата на пропускане на канала или блокирането на достъпа;

Има три главни аспекта на сигурността на компютърните системи и мрежи - уязвимост, заплахи и противодействие.
6.2. Заплахи и атаки към мрежите
В контекста на книгата уязвимостта е слабост в компютърната информационна система и в мерките за нейната сигурност, която може да доведе до компрометиране сигурността на системата. Под уязвимо място се разбира всяка точка на компютърната и комуникационната системи и на системата за тяхната защита, където те са слабо защитени срещу заплахи и атаки, свързани с тяхната сигурност. Уязвимите места в една система зависят от конкретната и реализация.

Заплаха е човек, обект, събитие, процес или явление, които могат да нанесат вреда на компютърните системи и мрежи. Примери за заплахи:

  • Използване на известен способ за достъп до системата с цел извършване на забранени действия;

  • Използване на служебно положение с цел достъп до информация;

  • Физическо разрушаване на системата или нейни компоненти;

  • Изключване на системата за защита или нейни компоненти;

  • Изключване на подсистемите обезпечаващи работата на системата (електроснабдяване, охлаждаща и вентилационна, комуникационна и др.);

  • Промяна на режима на работа на устройства и програми;

  • Подкуп и шантаж на персонала или отделни потребители;

  • Кражба и несанкционирано копиране на информационни носители;

  • Разкриване на шифри за криптозащита на информацията;

  • Включване на апаратни средства и програми, позволяващи несанкциониран достъп;

  • Заразяване с вируси;

  • Незаконно включване към комуникационните линии с цел подмяна на законен потребител и предаване на лъжлива информация от негово име;

  • Използване на подслушвателни устройства и устройства за дистанционно видеонаблюдение;

  • Прехващане на паразитните електромагнитни излъчвания (ПЕМИ);

  • Четене на остатъчна информация от оперативната памет и външни запомнящи устройства;

  • Незаконно използване на терминали и компютри оставени без надзор, и др.

Основните видове заплахи за сигурността на субектите в информационните отношения са:



  • Стихийни бедствия и аварии.

  • Грешки и откази на техническите средства на информационната система;

  • Последствия от грешки при проектиране и изработка на системата;

  • Грешки на персонала при работа със системата;

  • Преднамерени действия на нарушители и зложелатели.

Отелна група заплахи за сигурността на информацията произлизат от различни канали за изтичане на информацията. Канал за изтичане на информацията е метод, позволяващ на нарушител да получи достъп до информацията, обработвана или съхранявана в системата.

Според средството за получаване на информация има:


  • Канали за изтичане, в които средство за получаване на информация са хората;

  • Канали за изтичане, в които средство за получаване на информация е апаратурата.

Канал за изтичане на информацията може да има и заради ПЕМИ, създавани от основните и спомагателните технически средства и системи, индуктиране на информационни сигнали по всевъзможни линии и кабели, излизащи зад границите на контролираната зона и др.

Атаката е целенасочено действие на преднамерен нарушител, състоящо се в търсене и използване на уязвимости с цел сриване сигурността на информационната система.

В резултат на успешна атака се постига:

 Изтичане на информация;

 Отказ от обслужване (блокировка);

 Външна злоупотреба с ресурсите на фирмата, кражба на услуги;

 Записване и изполване на мрежовия трафик на фирмата от външни лица;

 Разрушение на информация;

 Измама с данни;

 Инсталиране на вредни програми;

 Индиректна (непряка) злоупотреба (използване на други сис­теми за създаване на вредни програми);

 Разбиване на пароли;

 Влошено администриране.


Формите на организиране на атаките са много разнообразни, но като цяло те се включват в една от следните категории:

  • Отдалечено проникване в компютърна система или мрежа- програми, които получават неоторизиран достъп до друг компютър през Интернет;

  • Отдалечено блокиране на компютърна система или мрежа - програми, които чрез Интернет блокират работата на отдалечен компютър или на отделна негова програма;

  • Локално проникване в компютър: програми, които получават неоторизиран достъп до компютъра на който работят;

  • Локално блокиране на компютър: програми, които блокират работата на компютъра на който работят;

  • Мрежови скенери: програми, които събират информация за мрежата за да определят кои от компютрите и програмите работещи на тях, са потенциално уязвими от атаки;

  • Скенери за уязвимости: програми, които проверяват големи групи от компютри в търсене на уязвимости към конкретен вид атаки;

  • Разбивачки на пароли: програми, които откриват лесно разгадаеми пароли в зашифрирани файлове с пароли;

  • Мрежови анализатори (снифери): програми, прослушващи мрежовия трафик. Често в тях има възможност за автоматично отделяна на имена на потрбители, пароли и номера на кредитни карти от трафика;

  • Модификация на предаваните данни или подмяна на информацията;

  • Подмяна на доверения обект или лъжлив обект.

Форма на атака срещу сигурността на системата е и т.нар. социално инженерство – получаването на несанкциониран достъп до информация по друг начин, без разбиване на програмното обезпечаване. Целта е да се надхитрят хората, за да се получат паролите за достъп до системата или друга информация, помагаща да се наруши сигурността чрез методи за вземане на информация от индивиди, снемане на информация от документи и други методи и средства от арсенала на специалните служби.

Голямо е разнообразието на мрежовите атаки, които могат да бъдат разделени на две големи групи:


  • Пасивно подслушване на мрежата – наблюдение на потока от съобщение, без намеса в него;

  • Активно подслушване на мрежата – включва някои вид обработка на съобщенията - селективно промяна, изтриване, забавяне, вмъкване на фалшиво съобщение, IP измама и др.

За получаване на информация, нарушителите могат да използват специални методи и технически средства, които са:



  • Специално внедрени електронни средства, разрушаващи или изкривяващи информацията;

  • Средства предаващи обработваната и информационната система информация или речева информация – разговори в помещенията, в които се намират компютрите;

  • Облъчване на техническите средства на информационната система със сондиращи сигнали;

  • Разрушаване на елементите на хардуера чрез подаване на високо напрежение и др.

У нас е приет Закон за специалните разузнавателни средства (СРС) . СРС по смисъла на този закон са технически средства и оперативни способи за тяхното прилагане. Съгласно закона, такива средства могат да се осигуряват и прилагат само от МВР, Националната разузнавателна служба и разузнавателната служба на МО с цел предотвратяване и разкриване на тежки престъпления и при дейности , свързани със защитата на националната сигурност. Всяко използване на такива средства от други физически и юридически лица не е разрешено и се наказва .

Неправилното проектиране и реализация на мрежата може да доведе до сериозно увеличаване на уязвимите места. Почти всички видове заплахи и уязвимости са директно свързани с проектирането и разработката на системата.

Най-чести и най-опасни по размера на нанесените щети се явяват непреднамерените грешки на хората обслужващи системата – потребители, оператори, администратори.

Те могат да бъдат:


  • Действия, водещи до частичен или пълен отказ на системата, в следствие на разрушаване на нейни компоненти;

  • Повреда на носителите на информация;

  • Неправомерно използване на оборудване и програми, водещо до забавяне работата на системата или до нейния срив;

  • Заразяване на компютрите с вируси;

  • Невнимателни действия, водещи до разгласяване на поверителна информация;

  • Разгласяване, предаване или загуба на пароли, пропуски, магнитни карти и др.;

  • Работа в системата без изпълнение на предвидените мерки за сигурност;

  • Некомпетентно използване, настройка или изключване на средствата за защита;

  • Изпращане на данни на грешен адрес;

  • Въвеждане на грешни данни;

  • Неумишлено повреждане на каналите за връзка.

Има четири типични случая, които могат да предизвикат изтриване на данните:



  • Случайно изтриване на данните от неправилна работа с компютър, в това число от външни лица, както и от деца;

  • Апаратни грешки;

  • пожар, наводнения, война и други форс-мажорни обстоятелства;

  • Отказ на програмното осигуряване.

Апаратните грешки са следствие на факта, че апаратурата и твърдите дискове не са вечни. Параметърът средно време за отказ (MTBF) е предположение колко време ще работи твърдия диск, преди с него да стане сбой. Информацията физически се записва върху диска в сектори върху писти, като един файл обикновено заема много сектори в няколко писти. Върху диска има важен запис, наречен таблица за разположение на файловете. Тази таблица (FAT) пази запис за пистите и секторите, заемани от файла.

При грешка в програмното осигуряване е възможна загуба на данните особено при програми, които се обръщат към части на компютъра, от най-ниско ниво. Такива грешки в програмите могат да запишат данни в сектора MBR или FAT и ефекта от това е както от най-опасния вирус.

Когато файлът бъде изтрит, съдържанието на FAT таблицата се изчиства и се прави достъпно за ново ползване, но физически информацията все още се намира върху диска. Тази информация може да бъде възстановена, ако след изтриването й не е записвана друга информация върху това място.

Възстановяването на изтрита информация се явява и заплаха за сигурността. Нарушител, който има физически достъп до диска и разполага с необходимите технически и програмни средства, би могъл да получи неоторизиран достъп до “изтритата” конфиденциална информация.

За предпазване от подобен вид заплахи, съществуват методи за унищожаване на файлове. Това става чрез програми за физическо изтриване на файловете от диска, след което никаква програма за възстановяване не може да ги върне обратно.

Принципът на действие на подобни програми се състои в трикратен презапис, както на елементите от списъка във файловата таблица FAT, така и на дисковите сектори, заемани от унищожения файл (в хард дисковете няма изтриваща глава, а само записваща и при еднократен запис на файл върху стар, остават слаби следи от предишните символи). Многократния презапис пречи на нарушителя да използва дори специална апаратура, интерпретираща и записваща слабите следи от изтритата информация.

Нарушителите са лица, опитващи се да изпълнят забранени действия поради грешка, невежество, безотговорност или съзнателно (с користни цели). Те извършват преднамерени нарушения за самоутвърждаване или с користни цели. Случаен нарушител няма да може да прихване и декриптира електромагнитно излъчване или да извърши определен криптоанализ. Този вид атаки могат да бъдат проведени от така наречените “висококласни разбивачи”, зад които стоят солидни ресурси (компютърна мощност, пари, време, персонал).

По отношение на атакуваната информационната система преднамерените нарушители могат да бъдат:



  • Вътрешни – оператори и потребители на системата, програмисти, технически персонал, ръководители с различни длъжности, служители по сигурността на информационната система;

  • Външни – клиенти и посетители, бивши служители (твърде опасни са така наречените “обидени” служители ), агенти на конкурентни организации и чужди разузнавания, терористи и престъпници, разрушители.

Разрушителите са три категории високо квалифицирани специалисти, които се стремят да проникнат несанкционирано в чуждите компютри:



  • Хакери, които не винаги нанасят вреда на данните. За някои от тях е просто предизвикателство да разрушат преградите на чуждите секрети.

  • Кракери, които злонамерено създават опасни ситуации около компютърните системи и мрежи.

  • Фийкъри – това са разбивачи, които се специализират в нападение на проводни и мобилни телефонни системи.

В литературата се прави различие между хакер - високо квалифициран копютърен специалист, не участвуващ в криминална дейност, и кракер-хакер, който използва своите способности за пробиване на компютърни системи с користна цел.

Методите на кракерите са различни. Те използват невежеството и благодушието на системните администратори и потребителите на компютри, грешки в програмите, даващи възможност да се заобиколят защитите, създават вредни програми и др.

Хакерите и кракерите никога не атакуват директно, без първо да са извършили известно разузнаване. Типичната последователност в тяхната дейност за разузнаване с цел получаване на достъп е следната:



  • Получаване на информация за организацията чрез подходящи Web-страници, бюлетин-бордове, справочници и др;

  • Мрежово разузнаване – чрез използване на средства за мрежово администриране да се идентифицират рутерите и защитните стени (например чрез командите traceroute и ping – разглеждат се в Глава 3);

  • Разузнаване на DNS системата (диапазоните на IP адресите, имената на домейните и трансферни зони);

  • Социално инженерство – систематичното следене на атакуваната организация позволява на атакуващите да изградят пълен профил на нейната система за сигурност, като използват комбинация от инструменти и технологии за отваряне на някои врати с цел търсене на уязвимости.

Първата линия на отбраната срещу нарушителите е системата от пароли. Затова постоянния работен инструмент на кракерите е т.нар. програма “Разбивач”. Задачата на тази програма е да се опита да получи достъп до отдаличен компютър с помоща на кодове и пароли докато не бъде намерена комбинацията осигуряваща достъп до системата. След това опитния разбивач вече знае как да повиши нивото си на привилегия до новото на системния администратор.

Вредното програмно осигуряване е общ термин за програми, които умишлено нанасят вреда на компютърните системи и мрежи. Подобно на своите биологични аналози, компютърните вируси носят в техния код от инструкции предписания за направа на техни ефектни копия. Инфекцията се разпространява от потребителите чрез размяна на инфектирани дискове или чрез препращане от един към друг на инфектирани програми. В мрежова среда способността да се получи достъп до приложение и системни услуги от други компютри осигурява перфектни условия за разпространяване на вируси. По въпросите на защитата от вируси има много информационни източници, поради което този проблем тук само се почертава като един от основните за мрежовата сигурност.

6.3. Основни уязвимости в Интернет

Интернет е най-голямата глобална мрежа. Общото за всички компютърни мрежи, обединени в нея е комуникационния протокол TCP/IP.

Приложният софтуер за Internet се базира на модела "клиент-сървър" за обслужване на потребителите. Клиентският софтуер превежда запитването на клиента в разбираем за сървъра вид и прави връзка с него. Сървърният софтуер управлява информационние ресурси на сървъра и обслужва насочените към него заявки.

Всеки път, когато една машина от мрежата поиска услуга от друга, тя посочва конкретен получател и метод на транспортиране. Получателят е посочен чрез IP адреса на получателя, а методът на транспортиране – чрез транспортния протокол (TCP или UDP). Освен това изпращачът указва приложението (програмата-услуга) на машината получател, към която се обръща. Това става чрез системата за портове. Точно както компютрите в Интернет притежават уникален IP адрес, всяко приложение (FTP, TELNET) има присвоен уникален адрес, наречен порт. Портът може да се разглежда опростено като софтуерна врата през която минава информацията (не трябва да се бърка с хардуерните портове, към които се закачат кабелите на мишката, клавиатурата и др. устройства). Портовете дефинират типовете на услугата, която се иска или предоставя. Те могат да бъдат отворени или затворени, през тях информацията може да се въвежда или извежда. Ако всички портове на компютъра за затворени, никой не може да проникне в него през мрежата, но и потребителя няма да може да използва услугите на мрежата.

В Интернет сървър има хиляди портове, макар че повече от тях не са активни. За тяхното по-удобно и ефективно използване е утвърдена стандартна номерация. Комплектът протоколи TCP/IP има 65535 порта. Портовете с номера от 1 до 1023 се наричат широко известни портове. В таблицата по-долу са дадени някои широко известни портове и приложенията, които обикновено се асоциират с тях.
ПортУслуга или приложениепорт 20 и 21File Transfer Protocol (FTP)порт 22Secure Shell (SSH)порт 23Telnetпорт 25Simple Mail Transfer Protocol (SMTP)порт 42Host name serverпорт 43Who isпорт 53Domain Name System (DNS)порт 80Hypertext Transfer Protocol (HTTP)порт 88Kerberos

Всеки от описаните в таблицата портове има присвоена услуга или протокол от приложното ниво на модела TCP/IP, т.е. те са видими за потребителя и той може да общува с тях. Портовете с номера от 1024 до 49151 се наричат регистрирани портове, а тези от 49152 до 65535 се смятат за динамични или частни.

Номерата на портовете и предназначението им, могат да се намерят на адрес: http://www.iana.org/assignments/port-numbers

Има програми, които разпознават кои портове са отворени и кои са затворени. Те се наричат скенери за портове.

Портът и IP-адреса съвместно образуват сокет (socket). Двойка сокети еднозначно идентифицира едно ТСР-съединение. Един сокет може да участва в няколко съединения едновременно.

Следните протоколите, използвани в компютърните мрежи, които могат да станат заплаха в ръцете на нарушителите са ТСР, UDP, IP spoofing, IP Етикети за сигурност, ARP, ICMP и Електронна поща.



Протоколът TCP осигурява надеждни виртуални вериги и загубените или развалените пакети се предават отново. Всеко пакет съдържа пореден номер който се потвърждава при установяване на връзката. Подреждането се обслужва от поредните номера, съдържащи се във всеки пакет. Загубените или повредени пакети в мрежата се предават отново, кето означава че пристигащите пакети може да е нужно да бъдат отново размесени с цел да бъдат отново съгласувани, подредени правилно. TCP съгласуващия номер има и друга функция. Тъй като първоначалния съгласуващ номер се променя с всяка нова връзка, това позволява на TCP протокола да открие остарял пакет от предишни версии на същата верига. Това е скромна придобивка за сигурността - връзката няма да може да бъде установена докато и двете страни не са съгласили за началния съгласуващ номер. Обаче, ако атакуващия може да познае началната точка, той може да накара приемащия да повярва че работи с истинския предавател( това се нарича атака тип "съгласуваш номер"). Всеки TCP пакет съдържа идентификатор, състоящ се от номерата на локалния хост, локалния порт, отдалечения хост и отдалечения порт. По този начин всяко виртуално съединение се идентифицира еднозначно. Във всеки момент може да има някои виртуални съединения, използващи същия порт, но докато останалата част на идентификатора еразлична, дотогава тт ще бъде уникално определено. Сървърите , които осигуряват услуги следят съотетните портове ( обикновено те имат малки номера).

Непотвърждаването на тази конвенция може да предизвика проблеми в сигурността. Сървърите могат да имат повече от един IP адрес, така че тези портове, които " слушат" може да се смятат за наполовина отворени, докато се знаят номерата на локалния порт и хост.

Клиентите използват предложени услуги, те рядко търсят специфични портове ( обикновено присвоени от ОС). Повечето версии на UDP и TCP за UNIX- системи налагат правилото, че само суперпотребителя ( корена) може да създава портове, номерирани по-малко от 1024 ( превилигировани портове). Отдалечената система е необходимо да бъде способна да вярва на автентичността на информацията, която постъпва на такъв порт. Тази конвенция не е правило, но подразбирането е ясно: на истинността на номерирането на порта трябва да се вярва ако сте сигурни,че конвенцията е приложена.

Протоколът UDP е свързан с доставянето на фрагментите на съобщението. В този протокол липсва установяване на връзка между абонатите и не може да се използва, предложена защита от протокола TCP -"ръкостискане". Обикновено се използва за малки заявки и отговори и когато са използвани за големи масиви той се държи много зле. Липсва му контрола на потока от данни и може да залее хостовете и рутерите с излишни данни, предизвиквайки загубата на пакети . UDP използва същите номера на портовете и сървърни конекции като TCP. Много по-лесно е да са spoof UDP пакети, тъй като те нямат ръкостискане и съгласуващи номера. Трябва да се проявява изключително внимание при използването на адреси от UDP пакет ( автентификация).

IP spoofing пакетът се изпраща с подправен IP адрес. Хакера е направил това, за да не се знае неговият идентификатор. Подправянето на адреса е прост начин да се скрие идентичността на машината, от която идва атаката. подправянето на адреса е относително лесно и има инструменти които позволяват ръчното конструиране и изпращане на пакети. Чрез тях Вие можете да установите който си искате IP адрес. Този адрес може да се промени и на Вашата машина ( чрез control panel). Следователно IP адресите могат лесно да бъдат променяни, така че да изглежда, че идват от друга машина.

IP Етикети за сигурност. IP - пакетът има определен брой от опционни полета - от тях важни са етикета за сигурност и полето за рутиране. Опцията се използвала от военните сайтове известно време, и има също и търговски вариант. Етикетите индицират нивото на сигурност при процеса на изпращане и приемането, като процеса може да не записва в среда с по-малко ниво на сигурност от неговата, защото те биха разрешили разкриването на конфендиционална информация. По очевидни причини той не може да чете от среда с по-висока сигурност от своята.

В мрежите етикетите на сигурност се използват за подтискане на маршрутизиращи решения. Пакетите, маркирани като строго секретни могат да не бъдат изпратени по несекретни линии за несекретен трафик. Втората полза е да се контролира криптографското оборудване - същите пакети могат да се изпратят по несекретни линии ако са добре зашифровани.



Протокол ARP. Често IP пакетите се изпращат по мрежите Ethernet и 32- битовите IP- адреси трябва да бъдат преобразувани в 48- битови Ethernet адреси. Това се извършва от протокола ARP, който изпраща пакети Ethernet , съдържащи желаният IP адрес. Той се кешира от изпращача за намаляване на ARP трафика. Това води до риск ако фалшиви възли получат достъп до местната мрежа. Изпратените ARP съобщения могат да се излъчат и целия трафик може да се отклони. След това това може да сеобезличат машините, или просто да модифицират потоците от данни. Механизъма ARP е обикновено автоматичен , но в някои специални секретни мрежи ARP мапинга може да бъде апаратен и да бъде забранен автоматичния протокол.

Протоколът ICMP има механизъм на ниско ниво за въздействие върху поведението на TCP и UDP връзки. Изпозва се да информира хостовете за по-добри маршрути, или да докладва за проблеми по маршрута или да спира връзката поради проблеми в мрежата. Също поддържа програмата PING. Много съобщения ICMP на даден хост са специфични за определени връзки. Следователно пренасоченото съобщение или съобщението недосегаемо направление трябва да се свързват специфично. По-старите ICMP приложения не изпълняват тази конвенция. Когато съобщението Destination Unreachable се появи всички връзки между такава двойка от хостове се провалят, даже ако съобщението е било пуснато от специфичния портов филтър на защитната стена.

Електронната поща се предлага от сички търговски мрежи, както е в Интернет. Независимо от това дали се намирате в локална или глобална мрежи, трябва да се знае, че всеки администратор на мрежата с неговите права, има достъп до абсолютно всичко в мрежата, или поне до трафика, който преминава през неговата мрежа. Ако вашата поща не е интересна за професионалния шпионаж най-опасни са любопитните и хакерите. Безпринципните системни администратори също могат да четат електронната поща.

В правителствените и университетски организации в САЩ има строги правила за контрол върху съобщенията. Там съществува закон за секретността на електронните комуникации. На провайдерите е разрешено да четат съобщенията само в случаи, когато е необходимо за изпълнение на тяхната работа. Полицията в САЩ има право да чете електронна поща само след съдебно решение. Що се отнася до правото на работодателите да наблюдават за дейността на работниците, то в САЩ действа общото право: правото на собственост преобладава над другите права, т.е. правото за секретност на работника е вторично по отношение на правото на собственост на собственика на предприятието. За малката фирма в САЩ отговора на въпроса на кого принадлежи електронната поща, на работника или на работодателя е прост. Ако работодателя осигурява средствата за електронна поща, то той контролира и всички съобщения.

Интернет провайдерите използват протоколите за електронна поща POP (Post office Protocol) и SMTP.

Най-уязвимите места на електронната поща са вашата изходяща поща и пощенската кутия на получателя. Най-малко са защитени електронните съобщения, очакващи ред на сървъра на получателя, за да бъдат разтоварвани към крайния компютър на потребителя. Това е така, защото съобщенията останали без движение на едно място са любима мишена за хакерите. Така те избягват проблема свързан със скъпото установяване на снифер (sniffer).

Снифера е инструмент на системния администратор, чрез него той има възможност да контролира трафика и да проверява мрежовите съединения. Снифера може да бъде използван за прихващане на целия трафик и за генериране на отчети при появяване на пощенски съобщения, откривани по някакви критерии, например специфични ключови думи или фрази, а също така съобщение към/от конкретен адрес или група адреси.

Монтирането на снифер е скъпа процедура, изисква голямо майсторство и лесно се открива, защото този прибор трябва да бъде включен в общата мрежа. За да се избегне използването на снифер, хакера се опитва да получи статус на супервайзор, така той ще може да преглежда всичко в системата в това число и електронната поща, която е съхранена или чакаща изпращане в сървъра.

Едно от средствата да се попречи на хакерите е да се използва опцията на програмата за четене на електронна поща “да се премахне четената поща от сървъра”, но ако има дублиране на входяща поща от друг сървър на провайдера с цел резервиране, хакера получавайки статут на супервайзор може няколко дена да чете пощата, даже ако потребителя си мисли, че те са били отстранени от сървъра.

Има два способа за скриване на изпращача на електронна поща: фалшива поща и анонимна поща. Тези два способа се различават по-следното: във фалшивата поща (fake mail) изпращача се старае изцяло да скрие своята личност, а използвайки анонимната поща (anonymous mail) изпращача скрива името си от всички освен от получателя. По принцип това е възможно ако се влезе чрез telnet на 25 порт на Unix-машината и се вкарат няколко Unix команди- Hello, Mail from, RCPT to:

Това разиграване се нарича спуфинг. Но ако се влезе чрез telnet в система, в който е натоварен модула RFC 931, предотвратяваща фабрикуването на фалшиви адреси на подателя, то вместо фалшивият ще бъде изпратен вашият адрес.

Проверката за наличие в системата на RFC 931 става, когато изпратите писмо на себе си. Основната причина поради, която може да стане мистификацията с обратния адрес е в реализацията на протоколите за изпращане на електронна поща.

Анонимния ремайлер, това е пощенския сървър разработен за приемане на изпратено до него съобщение, за отстраняване на цялата идентифицираща информация на подателя в заглавието и замяната и с анонимна информация. След това писмото се предава към получателя.

Най-внимателните личности изпращат съобщения чрез множество ремайлери (5 и повече). Може да се получи по подробна информация за ремайлерите от сайта: www.skypoint.com/members/gimonca/anonmail.html.

Интернет създава възможност без усилия да се разпространяват съобщения до хиляди адреси в мрежата. Това улес­нява лица или търговски дружества да изпращат рекламни съобщения (spam) или просто безполезни за потребителите послания (junkmail), които затрудняват ефек­тивното изпoлзване на Интернет.

Спам е термин, влязъл в употреба през 90-те години. С него се означават съобщения, които наводняват мрежата и които хората никога не биха искали да получат, ако предварително ги бяха попитали. В тесен смисъл на думата спам е електронно съоб­щение с търговски или рекламен характер, което съдържа информация за стоки и услуги или приканва адресата да посети уеб-страница с търговско съдържание.

Списъците с адреси, които се използват за спам, се продават от недобросъвестни автори на сайтове, които използват най-разнообразни методи, за да се доберат до ценна маркетингова информация

На някои сървъри се предлага услугата free hosting, но постепенно услугата или се превръща в платена, или “се заплаща” косвено. Някои компании предлагащи тази услуга като част от политиката си включват задължителното получаване на рекламни съобщения, като условие за използване на пълният набор от възможностите и.

В редица страни разпространяването на рекламни съобщения, които не съдържат в заглавието си обозначението “реклама”, а в самата поща – името и адреса на изпращача, както и удобен за получателя електронен метод за реакция на получателя, ако не желае да получава повече писма от подобен род, са забранени със закон.

В някои щати на САЩ е забранено масовото изпращане на търговски съобщения до адресати, с които дружеството не е в бизнес отношения. Големите телекомуникационни оператори също водят борба с потоците излишна поща. Самото определяне на една кореспонденция като спам не е лесна задача. Защитата на потребителите на Интернет в разглежда­ната област ще се развива не толкова със средствата на правните забрани, колкото със средствата на все по-масовото възприемане на етичните правила за поведение в Интернет.



6.4. Популярни мрежови атаки
6.4.1. Анализ на мрежовия трафик в Internet
Един от способите за получаване на пароли и идентификатори на потребителите в Интернет се явява анализа на мрежовия трафик. Този анализ се реализира с помощта на специална програма – анализатор на пакети (снифер), прехващаща всички пакети в сегмент на мрежата, и отделяща от тях тези, в които се предават идентификатора на потребителя и неговата парола.

В много от протоколите данните се предават в открит, нешифрован вид. Анализа на мрежовия трафик позволява прехващане на данните предавани чрез протоколите FTP и TELNET (идентификатори и пароли на потребители), HTTP (предаване на хипертекст между WEB-сървъри и браузъри, в това число и въвежданата във форми информация от потребителите) , SMTP, POP3, IMAP, NNTP (електронна поща и конференции) и IRC (online-разговори, чат). Така могат да бъдат прехванати пароли за достъп до системите за електронна поща с web-интерфейс, номера на кредитни карти при работа със системи за електронна търговия и различна информация от личен характер, разгласяването на която е нежелателно.

За разузнаване в мрежата могат да се използват и тривиални подходи. За да се засече мрежовата активност и научаване на мрежова информация за друг компютър, може да се използва UNIX командата netstat (еквивалентната и в DOS и WINDOWS е netstat). Много от портовете се представят с имената си, а често е необходимо да се знае номера на порта. Тогава просто се комбинират параметрите n и a:netstat na. Получават се както IP адресите, така и номерата на отворените портове на машината. Съществуват и програми, с които можете да се сканират цели обхвати от IP адреси и след това да се научи почти всичко за тях. Една от тях е Haktek.

Чрез командата nslookup може да се намери в Интернет информация от DNS сървърите цел разпечатването на таблица и намиране на имената и адресите на компютрите в този сървър..

Първичните сървъри са достоверни и зареждат информацията за домейна директно от дисков файл. Те имат пълна информация за техния домейн и техните отговори са винаги точни и правилни. Вторичните сървъри прехвърлят цялата база данни за домейна от първичния сървър периодично. Само чрез кеширане сървърите дават отговори на всички заявки за услуги по имена, получавани от другите name-сървъри. Те построяват своята информация чрез кеширане на резултатите от заявките.

За защита е добре да се ползва програма като Zone Alarm от http://www.zonelabs.com, която ще затвори всички портове на компютъра, които не се ползват от одобрената от потребителя програма.

С цел намирането на имената и IP- адресите на компютрите, свързани към даден сървър, се използва UNIX-командата nslookup. След намирането на тези адреси, те могат да бъдат “пробити”. Има програми за конвертиране на host адрес. Например може да се напише
nslookup чрез която да се разберат всички host и IP адреси на компютрите в даден домейн. Тази команда дава достъп до информацията в DNS.

Намиране на информация в Интернет.



arp –a

arp <име на хост>

Първата команда изобразява всички елементи на таблицата в която на IP адресите съответстват МАС адресите.

За да се провери връзката с отдалечен компютър се използва командата

ping –s [-t ttl] <име на хост> [размер на пакета] [брояч]

s означава, че непрекъснато се изпращат пакети



ping <име на хост> проверява дали има такъв отдалечен компютър. Ако съществува, той отговаря

<име на хост> is alive (или подобен текст).

Ако не съществува се получава съобщение



unknown host (no answer, unreachable)

Чрез командата ping може да се изпращат определен брой пакети с различна дължина и да се “залее” съответния хост.



ping s main.shu-bg.net 20 10,

Ако не се зададе размера и броя на пакетите, се подразбира размер 56 В и предаването им продължава докато не се спре принудително с Ctrl + C. В отговор на командата на екрана се изобразяват:



  • Големината на пакетите, получени обратно (с 8 В повече от изпратените);

  • Броят на изпратените, получените и загубените пакети в проценти;

  • Времето за пътуване на пакета в ms (минимално/средно/максимално);

  • Всички възли, през които преминават пакетите.

Чрез UNIX командата traceroute <име на хост> (WINDOWS еквивалент tracert <име на хост>) се показва маршрута на UDP пакетите от локалния хост до отдалечения хост. Командата отпечатва на екрана символните имената и IP адресите на всички шлюзове по маршрута и се изчислява броя на рутерите и времето за преминаване на всеки пакет.

IP адрес или съответстващото му символно име, може да бъде намерено и чрез командата host. Например

host mail.pv-ma.bg

Отговорът е server: mail.pv-ma.bg

Address: 193.68.148.4

Със използване на UNIX командата TELNET и порт № 25 може да се имитира ръчно изпращане на пощенски съобщения чрез командите на протокола SMTP. Този подход се използва понякога от хакерите, ако предварително са разузнали адресите в атакувания пощенски сървър. При използване на пощенския протокол smtp, никога не може да има сигурност в определянето на източника на съобщението.



Командата vrfy позволява на хакерите да получат полезна информация, защото тя транслира пощенските псевдоними в актуални идентификатори за влизане в система. Командата expn също е полезна за хакерите. Съдържанието на съобщението също може да предизвика проблеми. Автоматичното изпълнение на MIME-кодираните съобщения крие потенциална опасност.

Вече са разработени различни протоколи за обмен, позволяващи защита на мрежовия трафик (например, SSL и TLS, SKIP, S-HTTP и т.н.). За съжаление те още не са сменили старите протоколи и не са станали стандарти за всички потребители. До определена степен на тяхното разпространение пречат съществуващите в редица страни ограничения за експорт на средства за силна криптография. Поради тази причина реализациите на тези протоколи или не са били включени в програмното обезпечаване, или са били значително отслабени (ограничаване на максималната дължина на ключа), което води до практическата им безполезност, тъй като шифрите могат да разкрити за приемливо време.

Заради използваните в мрежите алгоритми за дистанционно търсене е възможна атака тип "фалшив мрежов обект"( фалшив ARP сървър).

6.4.2. Лъжлив ARP-сървър
За адресацията на IP-пакети в Интернет освен IP-адреса на хоста са необходими още и Ethernet-адреса на неговия мрежови адаптер (в случай на адресация в една подмрежа) или Ethernet-адреса на маршрутизатора (в случай на междумрежова адресация). Първоначално хоста може да няма информация за Ethernet-адресите на другите хостове в неговия сегмент на мрежата, а също така и за Ethernet-адреса на маршрутизатора. В Интернет за решаването на този проблем се използва протокола ARP (Address Resolution Protocol). Този протокол позволява да се получи еднозначно съответствие на IP- и Ethernet-адресите на хостовете, намиращи се във вътрешността на един сегмент. Той работи по следния начин: при първото обръщение към мрежата, хоста изпраща ARP-запитване, в което указва IP-адреса на маршрутизатора или хоста, и очаква да му съобщят неговия Ethernet-адрес. Това запитване получават всички станции, в това число и тази, чийто адрес е търсеният. След като получи запитването, хоста записва запитващата станция в своята ARP-таблица и след това изпраща на запитващия хост ARP-отговор със своя Ethernet-адрес. Полученият от ARP-отговора Ethernet-адрес се записва в ARP-таблицата, намираща се в паметта на ОС на запитващия хост. Общата схема на атаката е следната:


  • Очакване на ARP-запитване;

  • При получаване на ARP-запитване се предава по мрежата на запитващия хост лъжлив ARP-отговор, в който се указва мрежовия адрес на атакуващата станция (лъжлив ARP-сървър) или този Ethernet-адрес, на който ще се приемат пакетите от лъжливия ARP-сървър;

  • Прием, анализ, въздействие и предаване на пакетите обменяни между взаимодействащите хостове (въздействане на прехванатата информация);

Най-простото решение за ликвидирането на тази атака – създаване от мрежовия администратор на статична ARP-таблица като файл, където се слага информация за адресите и този файл се слага на всеки хост във вътрешността на мрежовия сегмент.


6.4.3. Лъжлив DNS-сървър
Както е известно, за обръщение към хостовете в Интернет се използват 32-разрядни IP-адреси, които уникално идентифицират всеки мрежови компютър. Използването на IP-адреси не е най-удобният начин за обръщение към хостовете. За това на всички компютри са присвоени имена. Те от своя страна трябва да се преобразуват в IP-адреси, тъй като на мрежово ниво адресацията на пакети не е по имена, а по IP-адреси.

Пътвоначално, когато в Интернет е имало малко компютри, за решаването на проблема с преобразуванието на имена в адреси е съществувал специален файл (така наречения hosts-файл), в който на имената са съпоставяни съответните IP-адреси. Файлът се обновявал регулярно и се разпращал по мрежата. С развитието на мрежата броят на хостовете обединени в нея нараствал и тази схема работела все по-зле. За това била сменена с нова схема за преобразуване на имената, позволяваща на потребителя да получи IP-адреса, сътветстващ на определено име от най-близкия DNS-сървър. За реализацията на тази система е разработен протокола DNS.

Алгоритъм на работа на протокола DNS е следния:


  • Хостът изпраща на IP-адреса на най-близкия DNS-сървър DNS-запитване, в което се указва името на сървъра, чийто IP-адрес трябва да бъде намерен;

  • При получаването на такова запитване, DNS-сървърът търси указаното име в своята база с имена. Ако намери него и съответстващия му IP-адрес, то той изпраща на хоста DNS-отговор, в който указва този адрес. Ако не намери името в своята база с имена, то DNS-сървърът препраща запитването на някой от отговарящите за домейните от по-горно ниво DNS-сървъри. Тази процедура се повтаря, докато името бъде намерено или не бъде намерено.

Както се вижда от алгоритъма, в мрежите използващи протокол DNS, може да се внедри лъжлив обект – лъжлив DNS-сървър.

Тъй като по подразбиране DNS функционира на базата на протокола UDP, който за разлика от TCP не предвижда средства за идентификация на съобщенията, това го прави по-малко защитен. Схемата за работа на лъжлив DNS-сървър е следната:


  • Очакване на DNS-запитване;

  • Извличане на необходимите сведения от полученото съобщение и предаване към запитващия хост на лъжлив DNS-отговор ит името (IP-адреса) на истинския DNS-сървър и с посочване в този отговор на IP-адреса на лъжливия DNS-сървър;

  • При получаване на пакет от хоста се променя IP-заглавието на пакета и той се предава към сървъра. Лъжливият DNS-сървър работи със сървъра от свое име;

  • При получаването на пакет от сървъра се променя IP-заглавието на пакета и той се предава към хоста. Лъжливият DNS-сървър се явява истински за хоста.

Възможни са два варианта за реализация на тази атака. В първия случай необходимо условие е прехващането на DNS-запитването, което изисква атакуващия да се намира на пътя на основния трафик, или поне да е в един сегмент с DNS-сървъра. В този случай се прави насочена атака от предварително подготвени лъжливи DNS-отговори към атакувания хост.

За затрудняване на тази атака може да се използва протокола TCP вместо UDP, въпреки че не винаги е ясно как точно да се направи, а и TCP не гарантира пълна безопасност.

6.4.4. Използване на протокола ICMP за създаване на лъжлив маршрутизатор
Маршрутизацията в Интернет се осъществява на мрежово ниво (IP-ниво). За нейното обезпечаване в паметта на мрежовата ОС на всеки хост съществуват таблици за маршрутизация, съдържащи данни за възможните маршрути. Всеки сегмент на мрежата е включен към Интернет минимум чрез един маршрутизатор. Всички съобщения адресирани до други сегменти на мрежата се изпращат към маршрутизатора, който ги пренасочва по нататък по указания в пакета IP-адрес, като избира оптималния маршрут.

В Интернет съществува управляващ протокол ICMP, едно от предназначенията на който е динамичното изменение на таблиците за маршрутизация в крайните мрежови системи. Отдалеченото управление на маршрутизацията е реализирано чрез предаване към хоста управляващото ICMP-съобщение Redirect Message.

За осъществяване на тази атака е небходимо да се подготви лъжливо ICMP-съобщение Redirect Datagrams for the Host, където се указва адреса на хоста, маршрута към който е бил изменен, и IP-адреса на лъжливия маршрутизатор. След това то се предва на атакувания хост от името на маршрутизатора. Тази атака позволява да се получи контрол над трафика между този хост и сървъра интересуващ нападателя, ако хоста и нападателя се намират в един сегмент, или да наруши работата на хоста, ако са разположени в различни сегменти.

За защита може да се използва филтрация на ICMP-съобщенията с помощта на Firewall. Друг способ е промяна в мрежовото ядро на ОС, за да се забрани реакцията на ICMP-съобщенията Redirect.



1   ...   10   11   12   13   14   15   16   17   18


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница