р інформації про мережу за допомогою загальнодоступних даних і додатків. При підготовці атаки проти якоїсь мережі зловмисник, як правило, намагається отримати про неї якомога більше інформації. Мережева розвідка проводиться у формі запитів DNS, луна-тестування (ping sweep) і сканування портів. Запити DNS допомагають зрозуміти, хто володіє тим чи іншим доменом і які адреси цього домену привласнені. Ехо-тестування (ping sweep) адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у даному середовищі. Отримавши список хостів, зловмисник використовує засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостами. І, нарешті, зловмисник аналізує характеристики додатків, що працюють на хостах. У результаті видобувається інформація, яку можна використовувати для злому. [2]
Способи боротьби з даною атакою:
. Відключення відлуння ICMP і луна-відповідь на периферійних маршрутизаторах. Це, однак, призведе до втрати даних необхідних для діагностики мережевих збоїв.
. Використання систем виявлення вторгнень (IDS).
IP-спуфинг
спуфинг відбувається, коли зловмисник, що знаходиться усередині корпорації або поза нею видає себе за санкціонованого користувача. Це можна зробити двома способами. По-перше, зловмисник може скористатися IP-адресою, яка перебуває в межах діапазону санкціонованих IP-адрес, або вповноваженим зовнішнім адресою, якому дозволяється доступ до певних мережевих ресурсів. Атаки IP-спуфінга часто є відправною точкою для інших атак. Класичний приклад - атака DoS, яка починається з чужого адреси, що приховує справжню особистість зловмисника.
Зазвичай IP-спуфинг обмежується вставкою помилкової інформації або шкідливих команд у звичайний потік даних, переданих між клієнтським і серверним додатком або по каналу зв'язку між однорангових пристроями. Для двостороннього зв'язку зловмисник повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилковий IP-адресу. Деякі зловмисники, однак, навіть не намагаються отримати відповідь від додатків. Якщо головне завдання полягає в отриманні від системи важливого файлу відповіді додатків не мають значення.
Якщо ж зловмисникові вдається поміняти таблиці маршрутизації і направити трафік на помилковий IP-адресу, зловмисник отримає всі пакети і зможе відповідати на них так, ніби він є санкціонованим користувачем.
Загрозу спуфинга можна послабити (але не усунути) за допомогою таких заходів:
. Контроль доступу. Найпростіший спосіб запобігання IP-спуфинга полягає в правильному налаштуванні управління доступом. Щоб знизити ефективність IP-спуфігна, налаштуйте контроль доступу на відсіч будь-якого трафіку, що надходить із зовнішньої мережі з вихідним адресою, який повинен розташовуватися усередині вашої мережі. Якщо санкціонованими є і деякі адреси зовнішньої мережі, даний метод стає неефективним.
. Фільтрація RFC 2827. Ви можете припинити спроби спуфинга чужих мереж користувачами вашої мережі (і стати добропорядним мережевим громадянином ). Для цього необхідно бракувати будь вихідний трафік, вихідний адреса якого не є одним з IP-адрес вашої організації. Цей тип фільтрації, відомий під назвою RFC 2827 raquo ;, може виконувати і провайдер. У результаті відбраковується весь трафік, який не має вихідного адреси, очікуваного на певному інтерфейсі.
. Використання криптографічної аутентифікації.
2. Можливості та недоліки мережевих екранів
Міжмережевий екран, мережевий екран - комплекс апаратних або програмних засобів, здійснює контроль і фільтрацію проходять через нього мережевих пакетівв відповідно до заданих правил.
У побуті міжмережевими екранами (МЕ) називають засоби захисту, що встановлюються між загальнодоступною (такий, як Internet) і внутрішньою мережею. Міжмережевий екран виконує подвійну функцію. По-перше, він покликаний обмежити доступ у внутрішню мережу з боку загальнодоступної мережі за рахунок застосування фільтрів і засобів аутентифікації, щоб зловмисники не могли дістати несанкціонований доступ до інформації або порушити нормальну роботу мережевої інфраструктури. По-друге, МЕ служить для контролю і регулювання доступу користувачів внутрішньої мережі до ресурсів загальнодоступної мережі, коли ті представляють загрозу безпеці або відволікають співробітників від роботи (порнографічні, ігрові, спортивні сервери).
Зараз, правда, мережеві екрани встановлюють і всередині корпоративних мереж, з метою обмеження доступу користувачів до особливо важливих ресурсів мережі, наприклад до серверів, що містить фінансову інформацію або відомості, що відносяться до комерційної таємн...