logo
шпоры БВС

Вопрос 17. Защита от сетевых атак. Классификация мсэ.

Классификация средств сетевой защиты

В статье 274 УК 2 года тюрьмы, либо исправительные работы, либо отстранение от деятельности.

Административные методы защиты от сетевых атак:

1) Защита от анализа сетевого трафика. Основными средствами защиты IP пакетов, входящих за пределы сети (IPSec). Защита конкретных информационных ресурсов с помощью встроенных средств в приложение (SSL, Opop);

2) Защита от ложного ARP-сервера (ARP-spoofing). Основные методы защиты – это создание статической ARP-таблицы в виде файла, куда необходимо занести всю необходимую информацию о нужных IP и МАС адресах;

3) Защита от ложного DNS сервера. Внутри локальной сети для защиты можно установить внутренний DNS-сервер, который содержал бы статические записи о наиболее критичных посещаемых узлом сети Интернет;

4) Защита от DOS-атак. Основной метод защиты – использовать как можно более мощные компьютеры. На критичных узлах сети. Защищенная сетевая ОС.

Программно-аппаратные методы защиты от удаленных атак

1) Аппаратные шифраторы сетевого трафика;

2) Использование межсетевых экранов, как программных, так и программно-аппаратных;

3) Защищенные сетевые криптопротоколы;

4) Программно-аппаратный анализатор сетевого трафика;

5) Защищенная сетевая ОС;

6) Защищенные системы аутентификации сетевых ресурсов (Керберс).

Классификация и определение политики МСЭ

Firewall, брандмауэр.

МСЭ представляют основное устройство сетевой защиты. МСЭ может анализировать содержимое пакетов любого уровня из модели ТСР/IP,это позволяет осуществить более точную настройку его политики. Может поддерживать дополнительные сервисы – это трансляция сетевых адресов (NAT), функция прокси-сервера, поддержка протокола DHCP (динамическая конфигурация хостов), быть конечной точкой UPN шлюза.

1) Пакетные фильтры. Является простейшим МСЭ, составной частью устройств маршрутизации, которые управляются на уровне сетевых адресов и коммуникационных сессий.

Анализируется следующее информационное содержание в заголовке сетевого и транспортного уровней:

Основное место сетевой инфраструктуры, в которой устанавливается пакетный фильтр, является пограничный роутер.

«+»:

1) Скорость работы, т.к. количество анализируемой информации минимально;

2) пакетный фильтр прозрачен для пакетов и серверов, т.к. не разрывает сетевые соединения.

«-»:

1) невозможность предотвратить атаки, использующие уязвимости приложений»

2) ограниченная информация для ведения логов;

3) нет возможности аутентификации пользователя;

4) уязвимы для атак подмены IP адреса;

5) сложности конфигурации.

Пример политики для пакетного фильтра

Для каждого правила политики возможно указание следующих видов деятельности:

1) ACCEPT, ALLOW, PASS - разрешение

Пакет, попадающий под это правило, Firewall пропускает, при этом может происходить создание лога или нет.

2) Deny – пакет, попадающий под это правило, возвращается без передачи, при этом источнику возвращается сообщение об ошибке, типа HOST UNREACHABLE или DESTINATION UNREACHABLE, при этом создание лога производится или нет.

3) DISCARD, BLOCK, UNREACH. Firewall отбрасывает пакет, попадающий под это правило, и не возвращает сообщение об ошибке источнику, т.е. Firewall не обнаруживает себя для внешней стороны, лог создается или нет.

Адрес источника

Порт источника

Адрес получателя

Порт получателя

Действия

192.168.1.2

Any

Any

Any

Allow

Any

Any

192.168.1.2

>1023

Allow

192.168.1.1

Any

Any

Any

Deny

Any

Any

192.168.1.1

Any

Deny

Any

Any

192.168.1.3

80

Allow

Any

Any

192.168.1.4

25

Allow

Any

Any

Any

Any

Deny

МСЭ транспортного уровня – инспекторы состояний (State Full Inspection)

Данные МСЭ проверяют факт, является ли пакет запроса на соединение, либо передает данные, относящиеся к уже установленному соединению.

Для проверки МСЭ исследует каждое установленное соединение и запрещает передачу любых пакетов до завершения рукопожатия. Он формирует специальную таблицу состояний, в которой содержится следующая информация:

«+»:

«-»:

МСЭ прикладного уровня Proxy Server

Такие МСЭ бывают двух видов:

Большинство МСЭ позволяет оценивать сетевой пакет на соответствие определенному прикладного уровню перед установлением соединения.

Обычно они включают в себя:

Отдельные службы proxy для каждого протокола прикладного уровня. Это позволяет анализировать множество команд для каждого протокола и производить анализ данного протокола.

«+»:

«-»:

Не является прозрачным для клиентов, т.е. требуется изменить конфигурацию приложения.