ДЕТЕКТИРОВАНИЕ И ЗАЩИТА

ДЕТЕКТИРОВАНИЕ И ЗАЩИТА. Есть несколько путей. Например, можно реализовать TCP/IP-стэк, которые будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number.

Однако в данном случае мы не застрахованы от крэкера, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если крэкер не потрудится поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем.

К сожалению, подавляющее большинство просто откроют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровне протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться программа шифрования данных PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc ], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет.

Это делает невозможным раннюю десинхронизацию. 2.7. Пассивное сканирование Сканирование часто применяется крэкерами для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта крэкеру.

Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерваным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искуственного элемента в отслеживание попыток соединения с различными портами. Однако крэкер может воспользоваться другим методом - пассивным сканированием (английский термин "passive scan"). При его использовании крэкер посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake.

Остальные вернут RST-пакеты. Проанализировав данный ответ, крэкер может быстро понять, на каких портах работают программы. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматически ответит TCP/IP-реализация крэкера, если он не предпримет специальных мер). Метод не детектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается.

Однако, в зависимости от поведения крэкера, можно отслеживать резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED (при условии, что крэкер не посылает в ответ RST) прием от клиента RST-пакета в ответ на SYN/ACK. К сожалению, при достаточно умном поведении крэкера (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.

В качестве защиты можно лишь посоветовать закрыть на firewall (брандмауэр) все сервисы, доступ к которым не требуется извне. В сфере компьютерных сетей брандмауэр представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться в сеть для того, чтобы скопировать, изменить или стереть информацию, либо, чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров.

Брандмауэр устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только авторизованные пакеты. Рис. 2.7.1. Брандмауэр Брандмауэр является набором компонентов, настроенных таким образом, чтобы реализовать определенную политику контроля внешнего доступа к вашей сети. Обычно брандмауэры защищают внутреннюю сеть компании от вторжений из Internet, однако они могут использоваться и для защиты от нападений, например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься брандмауэром как авторизованный.

Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени.

Выработка политики безопасности поможет понять, какие компоненты брандмауэра вам необходимы и как их сконфигурировать, чтобы обеспечить те ограничения доступа, которые вы задали. Заключение. Семейство протоколов TCP/IP широко применяется во всем мире для объединения компьютеров в сеть Internet. Единая сеть Internet состоит из множества сетей различной физической природы, от локальных сетей типа Ethernet и Token Ring, до глобальных сетей типа NSFNET. Термин "TCP/IP" обычно обозначает все, что связано с протоколами TCP и IP. Он охватывает целое семейство протоколов, прикладные программы и даже саму сеть. В состав семейства входят протоколы UDP, ARP, ICMP, TEL-NET, FTP и многие другие.

TCP/IP - это технология межсетевого взаимодействия, технология internet. Модуль IP создает единую логическую сеть. Архитектура протоколов TCP/IP предназначена для объединенной сети, состоящей из соединенных друг с другом шлюзами отдельных разнородных пакетных подсетей, к которым подключаются разнородные машины. Каждая из подсетей работает в соответствии со своими специфическими требованиями и имеет свою природу средств связи.

Однако предполагается, что каждая подсеть может принять пакет информации (данные с соответствующим сетевым заголовком) и доставить его по указанному адресу в этой конкретной подсети. Не требуется, чтобы подсеть гарантировала обязательную доставку пакетов и имела надежный сквозной протокол.

Таким образом, две машины, подключенные к одной подсети, могут обмениваться пакетами. Когда необходимо передать пакет между машинами, подключенными к разным подсетям, то машина-отправитель посылает пакет в соответствующий шлюз (шлюз подключен к подсети также как обычный узел). Оттуда пакет направляется по определенному маршруту через систему шлюзов и подсетей, пока не достигнет шлюза, подключенного к той же подсети, что и машина-получатель; там пакет направляется к получателю.

Объединенная сеть обеспечивает дейтограммный сервис. Проблема доставки пакетов в такой системе решается путем реализации во всех узлах и шлюзах межсетевого протокола IP. Межсетевой уровень является по существу базовым элементом во всей архитектуре протоколов, обеспечивая возможность стандартизации протоколов верхних уровней. Протоколы TCP/IP прошли долгий путь усовершенствований для обеспечения требований феномена ХХ века – глобальной сети Internet. Протоколы TCP/IP используются практически в любой коммуникационной среде, от локальных сетей на базе технологии Ethernet, до сверхскоростных сетей АТМ, от телефонных каналов точка – точка до трансатлантив точка – точка до трансатлантиспособностью в сотни мегабит в секунду.

Некоторые основные положения: -TCP/IP имеет четырехуровневую иерархию. -IP – адреса определяются программно и должны быть глобально уникальными. IP используют адреса для передачи данных между сетями и через уровни программного обеспечения хоста.

В сетях TCP/IP корректный адрес определяется сетевым администратором, а не аппаратными компонентами. Проблемы обычно возникают из – за ошибок конфигурации. -Маршрутизация необходима, чтобы пересылать данные между двумя системами, которые не подсоединены напрямую к одной физической сети. Изначально протокол TCP/IP создавался для того, чтобы обеспечить надежную работу сети, состоящей из мини- компьютеров и находящейся под управлением профессиональных администраторов. Компьютеры в сети TCP/IP рассматриваются как равноправные системы.

Это означает, что они могут выступать в качестве серверов для одного приложения и одновременно работать как клиенты для другого. В протоколе TCP/IP не делается различий между ПК и мэйнфреймами. Для TCP/IP все они – хосты, а ко всем хостам предъявляются одинаковые требования по конфигурации. TCP/IP тоже совершенствуется по мере развития ПК и программного базовых приложений, поэтому является более сложной сетевой средой, чем традиционные локальные сети ПК. Основными элементами сети TCP/IP являются базовые службы удаленного доступа к серверу, передачи файлов и электронной почты.

Почему сети TCP/IP не доминируют на рынке ПК? Прежде всего потому, что данный протокол создавался не для ПК и ориентирован не на рынок ПК. Он создан для того, чтобы работать на различных аппаратных платформах в среде разнообразных операционных систем. Основные достоинства TCP/IP: - Cемейство протоколов основано на открытых стандартах, свободно доступных и разработанных независимо от конкретного оборудования или операционной системы.

Благодаря этому TCP/IP является наиболее распространенным средством объединения разнородного оборудования и программного обеспечения. - Протоколы TCP/IP не зависят от конкретного сетевого оборудования физического уровня. Это позволяет использовать TCP/IP в физических сетях самого различного типа: Ethernet, Token-ring, X.25, т.е. практически в любой среде передачи данных. - Протоколы этого семейства имеют гибкую схему адресации, позволяющую любому устройству однозначно адресовать другое устройство сети. Одна и та же система адресации может использоваться как в локальных, так и в территориально распределенных сетях, включая Internet. - В семейство TCP/IP входят стандартизированные протоколы высокого уровня для поддержки прикладных сетевых услуг, таких как передача файлов, удаленный терминальный доступ, обмен сообщениями электронной почты и т.д.