Popularne metody włamań do systemów


Popularne metody włamań do systemów

komputerowych i zabezpieczenie się przed nimi

Wśród całej mnogości oprogramowania dostępnego na różne wersje UNIX'a można trafić na najprzeróżniejsze programy. Często wiele z tych programów jest nieznanego lub wątpliwego pochodzenia (shareware). Jest to dobry sposób na rozpowszechnianie różnych złośliwych programów, wykonujących oprócz swoich założonych zadań różne inne, nie zawsze oczekiwane przez użytkownika. Programy takie dzieli się zasadniczo na kilka grup według podobnego schematu:

Atak na bezpieczeństwo, atak na system komputerowy, zagrożenie bezpieczeństwa (angielskie security attack, security threat), działanie mające na celu przeniknięcie do chronionego systemu komputerowego w celu przechwycenia lub zniekształcenia przechowywanych w nim informacji.

Rozróżnia się następujące rodzaje ataków na bezpieczeństwo:

a) przerwanie (interruption), czyli zniszczenie części systemu lub jej unieruchomienie, np. przecięcie linii łączności;

b) przechwycenie (interception), czyli uzyskanie dostępu do zasobów systemu przez czynnik postronny (osobę, komputer), np. podsłuch;

c) modyfikacja (modification), tj. zmiana zasobów przez osobę nieupoważnioną, np. modyfikacja programu lub komunikatów sieciowych;

d) podrobienie (fabrication), czyli atak na autentyczność, np. dodanie fałszywych danych do pliku.

Naruszenia bezpieczeństwa (nadużycia) systemu można podzielić na przypadkowe i rozmyślne (złośliwe). Łatwiej jest chronić system przed nadużyciami przypadkowymi niż przed złośliwymi.

Maskarada, kamuflaż (angielskie masquerade), atak na bezpieczeństwo polegający na udawaniu upoważnionego użytkownika, np. w celu przechwycenia jego hasła.

Atak przez ponawianie (z angielskiego replay attack), atak na bezpieczeństwo polegający na retransmitowaniu porcji danych po jej uprzednim przechwyceniu (atak pasywny), np. próba dokonania powtórnej transakcji przelewu z konta.

Bezpieczeństwo (angielskie security), miara zaufania, że system i jego dane pozostaną nienaruszone. Zapewnianie bezpieczeństwa jest znacznie szerszym zagadnieniem niż ochrona; oprócz rozwiązań programowych bezpieczeństwo obejmuje problemy zabezpieczeń konwencjonalnych.

Atak pasywny (z angielskiego passive attack), atak na bezpieczeństwo polegający na podsłuchiwaniu lub śledzeniu przesyłania w celu odkrycia treści komunikatu lub wykonania analizy ruchu (traffic analysis) danych w sieci. Ponieważ ataki pasywne nie zmieniają danych, są trudne do wykrycia.

Atak aktywny (z angielskiego active attack), atak na bezpieczeństwo, polegający na wykonywaniu zmian w strumieniu danych lub tworzeniu danych fałszywych. Rozróżnia się cztery rodzaje ataku aktywnego: maskaradę, atak przez ponawianie, modyfikowanie komunikatów oraz blokowanie działania. Modyfikowanie komunikatów może również oznaczać ich opóźnianie. Blokowanie działania ma utrudnić normalną pracę systemu, np. niedocieranie informacji do miejsca, w którym są sprawdzane, dezintegrację sieci lub jej przeładowanie.

Spośród wielu różnorodnych zagrożeń do najczęściej spotykanych należą: włamania do systemu, działania z ukrycia za pomocą bocznych drzwi (np. popełnianie nadużyć bankowych, kradzieże “elektronicznych pieniędzy”), łamanie praw autorskich wskutek nielegalnego handlu kopiami oprogramowania (np. nagminne kopiowanie i nielegalna sprzedaż pamięci CD-ROM i DVD-ROM), kradzież prywatnych lub poufnych baz danych, podsłuchiwanie sieci lub monitorów (zmian w ich promieniowaniu elektromagnetycznym), złośliwe niszczenie danych, rozpowszechnianie komputerowych wirusów, robaków lub bakterii.

Porty najczęściej używane przez "konie trojańskie"
31......................Master's Paradise
555....................StealthSpy, phAse
1001..................Web EX
1025..................NetSpy
1981..................Bowl
1999..................Backdoor 2
5000..................Sockets de Troie
6969..................GateCrasher
12345................NetBus 1.7
12346................NetBus 1.7
21554................GirlFriend
31337................BO, T5Port
33333................Prosiak
40421................Master's Paradise
40426................Master's Paradise
44444................Prosiak

Zabezpieczanie

Wiele z mechanizmów wykorzystywanych w programach złośliwych jest także wykorzystywana w zwykłych programach do 'pokojowych' celów. Niezależnie od sposobu w jaki takie programy atakują system, należy zachować kilka elementarnych zasad bezpieczeństwa, które w każdej sytuacji znacząco pomogą zwiększyć bezpieczeństwo naszego systemu. Oto kilka ku temu wskazówek:


Programy antywirusowe

Najbardziej popularne programy antiwirusowe to:

Firewall ("ściana ogniowa") to urządzenie, którego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób włamania. Najbardziej popularnymi typami firewallów są:

FUNKCJE SCIANY OGNIOWEJ:

1. Kontrola dostępu do usług systemu.

2. Ograniczenie liczby dostępnych usług.

3. Kontrolowanie połączeń sieciowych.

4. Skanowanie serwisów sieciowych.

5. Wykrywanie i eliminowanie prób włamania do systemu.

6. Zabezpieczenie przesyłanych informacji.

7. Nadzorowanie pracy routerów.

8. Ochrone systemu przed niebezpiecznymi programami.

9. Kontrola antywirusowa przesyłanych plikow.

10. Ukrywanie struktury wewnętrznej systemu.

11. Monitorowanie bieżącego stanu komunikacji sieciowej.

12. Rejestrowanie ważnych zdarzeń.

13. Równoważenie obciążenia serwerów.

Statyczny filtr pakietów

Statyczny filtr pakietów jest nieinteligentnym urządzeniem filtrującym. Oferuje proste zabezpieczenie przed zaawansowanymi typami ataków. Wiele ruterów ma możliwość statycznego filtrowania pakietów. Statyczny filtr pakietów kontroluje ruch przy użyciu informacji zapisanych w nagłówkach pakietów. Kiedy pakiet dociera do urządzenia filtrującego, sprawdzane są dane zapisane w nagłówku pakietu. W zależności, czy informacje w nagłówku są zgadzają się z listą dostępu, pakiet jest przepuszczany lub odrzucany.

Statyczny filtr pakietów może użyć następujących informacji w momencie decyzji czy przepuścić pakiet:

Filtrowanie UDP jest dużo trudniejsze niż filtrowanie TCP, ponieważ UDP nie zawiera tak wielu informacji, jak połączenie przy użyciu protokołu TCP. Jedynymi informacjami, które mogą być użyte do kontroli ruchu w sieci są numery źródłowe i docelowe portów. Dodatkowym utrudnieniem jest fakt, że wiele usług bazujących na UDP używa tych samych portów dla źródła oraz dla celu (np. DNS używa portów 53). Uniemożliwia to blokowanie przychodzącego ruchu na taki port, ponieważ spowoduje to blokowanie danych, które są odpowiedziami.

Pakiety ICMP nie posiadają pola numeru portu. Filtrowanie pakietów ICMP polega na sprawdzeniu zawartości pola typu i kodu. Jednak nie wszystkie filtry pakietów są dostosowane do filtrowania wszystkich typów i kodów.

Dynamiczny filtr pakietów

Dynamiczny filtr pakietów to urządzenie inteligentne, które kontroluje ruch na postawie atrybutów pakietu oraz tabeli stanów. Tabela stanów pozwala urządzeniu na zapamiętanie poprzedniej wymiany pakietów i podjęcie decyzji w oparciu o dodatkowe informacje.

Dynamiczny filtr wykonuje tę samą pracę co statyczny, ale dodatkowo tworzy tabelę stanów, do której wpisuje dane, gdy zostało utworzone jakieś połączenie. Za każdym razem, gdy zdalna maszyna próbuje odpowiedzieć chronionej, sprawdzana jest tabela stanów w poszukiwaniu:

Kiedy pakiety FIN są przesłane przez każdy system, odpowiedni wpis w tabeli jest usuwany.

Statyczne filtrowanie pakietów UDP jest bardzo trudne, ponieważ nagłówek UDP nie zawiera informacji na temat stanu połączenia. Dynamiczny filtr pakietów radzi sobie dobrze z pakietami UDP, ponieważ ma swoją własną tabelę stanów i nie polega na danych zapisanych w nagłówkach pakietów. Gdy potrzebujemy filtrowania pakietów UDP dymaniczny filtr pakietów jest bardzo zalecany.

Implementacja dynamicznego filtru pakietów jest specyficzna dla każdego typu transportu. Oznacza to, że dla każdego protokołu takiego jak TCP, UDP oraz ICMP implementacja jest inna. Dlatego podczas wyboru dynamicznego filtru pakietów należy się upewnić, że firewall obsługuje filtrowanie tego typu, którego chcemy używać.

Proxy

Serwer proxy jest aplikacją, która przekazuje ruch między dwoma segmentami sieci. Proxy są często stosowane zamiast filtrowania, aby wstrzymać ruch bezpośredni między sieciami. Dzięki proxy, źródłowy i docelowy system nie są w rzeczywistości połączone ze sobą. Proxy stoi pośrodku każdej próby połączenia.

Proxy nie wykonuje rutowania, ale wykonuje połączenia za każdy system po każdej stronie firewalla. Kiedy chcemy połączyć się z jakąś usługą na zdalnym serwerze, żądanie kierowane jest do bramy prowadzącej do zdalnej sieci, którą jest w rzeczywistości serwer proxy. Gdy proxy odbierze żądanie, identyfikuje jaki rodzaj usługi żądamy. Po identyfikacji, proxy przpuszcza żądanie do specjalnej aplikacji używanej tylko dla sesji danego protokołu. Aplikacja ta weryfikuje żądanie z listą dostępu, czy pozwolić na ten typ ruchu. Jeśli tak, proxy formułuje nowe zapytanie do zdalnego serwera z tym, że podaje siebie jako źródło. Kiedy serwer odpowiada, przesyła dane do proxy. Kiedy proxy odtrzymuje odpowiedź, kieruje ją znowu do aplikacji odpowiedzialnej za dany protokół. Kiedy informacje w odpowiedzi są akceptowalne, kierowane są do naszego komputera.

Ponieważ serwery proxy podwajają każde połączenie, możliwe jest zapisywanie (logowanie) każdego z nich. Serwery proxy są w pełni bezpieczne, gdyż nie dokonują bezpośredniego rutingu. Jedyną ich wadą są ogromne wymagania sprzętowe oraz pewien brak elastyczności. W momencie pojawienia się nowej usługi, z której użytkownicy sieci chcą skorzystać, musimy zainstalować dodatkowy program na serwerze zapewniający daną usługę.

Tłumaczenie adresów

Translacja adresów jest implementowana we większości firewalli i jest używana wtedy, gdy nie chcemy, aby zdalny system poznał prawdziwe adresy IP w wewnętrznej sieci. Są trzy sposoby translacji adresów:

Ukrywanie NAT polega ukryciu wszystkich wewnętrznych adresów IP za jednym adresem IP, który może być adresem IP firewalla lub zupełnie innym poprawnym adresem. Największym ograniczeniem tej metody jest brak możliwości połączenia się z zewnątrz. Poniważ wszystkie komputery schowane są za jednym adresem IP, firewall nie ma możliwości sprawdzenia, do którego z komputerów w wewnętrznej sieci kierowane jest połączenie.

Statyczne NAT jest podobne do ukrywania NAT, z wyjątkiem tego, że każdy lokalny adres IP jest ukryty za osobnym adresem. Pozwala to firewallowi na rozpoznanie do którego komputera skierować połączenie. Wiekszość urządzeń NAT pozwala na jednoczesne ukrywanie NAT i statyczne NAT. Pozwala to na przydzielenie osobnych adresów tylko tym systemom, które tego potrzebują, ukrywając inne.

Translacja PAT jest używana przez większość serwerów proxy. Cały ruch na zewnątrz jest tłumaczony w taki sam sposób, jak ukrywanie NAT, lecz adresy muszą być ukryte za adresem firewalla. Aby umożliwić ruch przychodzący z zewnątrz, mapuje się porty do konkretnego systemu.

8



Wyszukiwarka

Podobne podstrony:
Metody ochrony przed włamaniami do systemu informatycznego
Niektóre prawne aspekty włamań do systemu komputerowego
Niektóre prawne aspekty włamań do systemu komputerowego
analiza systemow informatycznych, Egzamin z PSI 2, 31) Wzorce modyfikowania metodycznego podejścia d
wprowadzenie do systemu win i podst sieci
Karta postaci do systemu Glebia Przestrzeni
Metody Dostępu Do Internetu
metody i techniki do czytania
Dobór metody przedłużania do rodzaju paznokcie
metody sciaga do drukowania
JAK ZAINSTALOWAĆ WINDOWS XP, Do Systemu, Instrukcje instalacji
Opracowanie metody i oprogramowania do wielokryterialnej i wielopoziomowej oceny alternatyw(1)
Źródła i wybrane metody ograniczania zakłóceń w systemach automatyki z napędami przekształtnikowymi
Lab 01 Wprowadzenie do systemu UNIX
WPROWADZENIE DO SYSTEMATYKI(1)
Sterowanie dostępem do systemu informatycznego II STEROWANIE DOSTĘPEM DO SYSTEMU INFORMATYCZNEGO, II

więcej podobnych podstron