Для удобства восприятия я буду сразу описывать, в чем заключается каждая конкретная атака, и как его противодействовать. Технологии обнаружения будут отдельным заголовком. Атака «Отказ в обслуживании» Она же DoS – Denial of Service. Самая примитивная и мало уважаемая в хакерской среде атака, однако, одна из наиболее доступных, и стопроцентной защиты от неё нет. Доступность её объясняется тем, что DoS рассчитана не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. В отличие от остальных атак, DoS не ставит своей целью получить какие-то данные, либо доступ к сети. DoS делает атакуемую сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. Во время DoS атаки злоумышленники стремятся занять все соединения, доступные для Веб-приложений, что удерживает их в занятом состоянии и не позволяет обслуживать пользователей. Данный тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если не остановить у провайдера трафик, предназначенный для переполнения вашей сети, то сделать это на входе в сеть вы уже не сможете, поскольку вся полоса пропускания будет занята. Если атака данного типа осуществляется через множество устройств, это называют распределенной атакой DoS (distributed DoS, или DdoS). Противодействие Есть три основных способа предотвратить DoS: Функции антиспуфинга. В первую очередь стоит настроить правильную конфигурацию функции антиспуфинга на маршрутизаторах и сетевых экранах. В том числе должна быть включена фильтрация RFC 2827. В таком случае если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку. Функции анти-DoS. Также можно снизить эффективность атаки DoS за счет межсетевых экранов и правильной конфигурации функций анти-DoS. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени. Ограничение объема трафика (traffic rate limiting). Ну и напоследок можно попросить провайдера ограничить объем трафика, проходящий по сети. Как вариант, уменьшить объем трафика ICMP, использующийся для диагностических целей. Поскольку обычно DoS атаки осуществляются именно через него. Атака «Перебор пароля» Следующим примитивным, но достаточно эффективным способом найти путь в систему, может быть перебор пароля (он же ***** force attack). В случае успеха хакеру предоставляется доступ к системе, пусть и с незначительными возможностями. Если же этот пользователь имеет значительные привилегии доступа, хакер может создать себе «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин. Еще большая проблема возникает, если пользователи используют один и тот же (пусть даже очень сложный) пароль для доступа ко многим системам: к корпоративной, персональной и к системам Интернета. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, то хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль. Хотя на самом деле для перехвата пароля не обязательно использовать именно ****-форс. Узнать пароль можно попытаться при помощи троянского ПО, IP-спуфинг или сниффинг пакетов. Можно даже путем социальной инженерии. Тем не менее, в некоторых случаях это может быть наиболее простой способ. Особенно если стоит слабый пароль, либо один из наиболее распространенных паролей, вроде «password». Противодействие Данной атаки можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация сводят угрозу таких атак практически на нет. Но к сожалению, не все приложения, хосты и устройства поддерживают такие методы аутентификации. Поэтому как минимум всегда стоит использовать такие пароли, которые будет трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов, а в идеале — более шестнадцати. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Такие пароли тяжело подобрать и трудно запомнить, что вынуждает пользователей записывать их. Лучше их хранить на бумаге, либо в зашифрованном виде на устройстве. В противном случае есть риск утечки пароля другими путями. Как вариант, можно использовать один из менеджеров паролей — тогда остается запомнить лишь один сложный пароль от самого менеджера. Ну и конечно же требуется подготовка сотрудников, чтобы, во-первых, никто не использовал в паролях какие-то личные данные, которые можно легко узнать методом разведки. Во-вторых, чтобы нигде и никогда не разглашали данные доступа, что может быть в случае атаки методом социальной инженерии. Атака «Сетевая разведка» Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Всё это необходимо для того, чтобы понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены, а также увидеть, какие хосты работают в данной среде. Далее уже идет сканирование полученных портов, для составления списка услуг, поддерживаемых этими хостами. После этого идет анализ характеристик приложений, работающих на хостах. В итоге обычно собирается достаточно информации, чтобы искать уязвимости для дальнейшего проникновения. Противодействие К сожалению, полностью избавиться от сетевой разведки невозможно. Можно отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, и тем самым избавиться от эхо-тестирования, но в таком случае потеряются данные, необходимые для диагностики сетевых сбоев. Более-менее надежным способом будет использовать систему распознания атак (IDS), предупреждающей администратора о проводящейся сетевой разведке, что дает возможность подготовиться к атаке. При этом в IDS есть две дополняющие друг друга технологии: NIDS и HIDS. Первая отслеживает все пакеты, проходящие через определенный домен и когда видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию. Вторая защищает хост с помощью программных агентов, но борется только с атаками против одного хоста. Использовать лучше вместе обе системы. Однако IDS имеет очень большой недостаток, а именно их способность генерировать сигналы тревоги. В случае некорректной настройки системы, можно часто получать ложные сигналы тревоги, поэтому необходима очень тщательная настройка этой системы. Ну и конечно же в дополнение к этому нужно пользоваться самыми свежими версиями операционных систем и приложений, и самыми последними коррекционными модулями. Атака на уровне приложений Такие атаки могут проводиться несколькими путями. Самый распространенный из них — использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Через имеющиеся слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (как правило это не простой пользователь, а привилегированный администратор с правами системного доступа). Проблема в том, что сведения о таких атаках широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей. Хакеры в свою очередь тоже изучают эти данные, что дает им возможность подстраиваться и искать новые пути атаки. Поэтому полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места. Поэтому единственное спасение здесь — хорошее системное администрирование. Противодействие Необходимо постоянно читать лог-файлы операционных систем и сетевые лог-файлы, и анализировать их с помощью специальных аналитических приложений, а также постоянно следить за информацией про слабые места в ОСях, и программах. Атака «Сниффер пакетов» Сниффер пакетов — это специальная прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). Все сетевые пакеты, которые передаются через определенный домен, перехватываются сниффером. Проблема в том, что в настоящее время снифферы работают в сетях на вполне законном основании, поскольку ни используются для диагностики неисправностей и анализа трафика. Но ещё большая проблема в том, что некоторые сетевые приложения передают данные в текстовом формате (например Telnet, FTP, SMTP, POP3 и т.д.), а значит с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Это как раз один из вариантов перехвата имен и паролей, и особенно это страшно в том случае, если пользователь использует один пароль ко всем ресурсам и приложениям. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Противодействие Первейшим средством защиты от сниффинга пакетов является сильная аутентификация. Под сильными подразумеваются те способы, которые сложно обойти. Например, однократные пароли. Так, в случае если злоумышленник и сможет перехватить полученный пароль, то пользы он не принесет, поскольку после вашего входа будет уже не актуален. Однако стоит отметить, что этот способ борьбы со сниффингом эффективен только в случаях перехвата паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности. Атака «Злоупотреблением доверия» На самом деле это не совсем атака в обычном смысле этого слова. Это всего лишь злонамеренное использование отношений доверия, существующих в сети, которое может негативно использовать и любой пользователь сети, например по глупости. Пример: установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном. Противодействие Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, ни при каких условиях не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам. Атака «Переадресация портов» Данную атаку можно рассматривать как разновидность злоупотребления доверием, но все же про неё стоит высказаться отдельно. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Противодействие Единственным способом борьбы с подобным является использование надежных моделей доверия, как было сказано в пункте выше. Так же стоило бы иметь на хосте функционирующую системы IDS, о которой упоминалось ранее в статье. Атака «IP-спуффинг» Под IP-спуффингом подразумевается, что хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя, изменив свой IP-адрес на тот IP-адрес, который либо находится в пределах диапазона санкционированных IP-адресов, либо принадлежит авторизованному внешнему адресу, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. В том числе для атаки DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Противодействие Угрозу спуффинга невозможно полностью устранить, но можно свести к возможному минимуму, используя следующие методы: Необходимо настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Проблема в том, что это помогает бороться с IP-спуфингом в тех случаях, когда санкционированными являются только внутренние адреса. Если же разрешены и некоторые адреса внешней сети, данный метод становится неэффективным. Отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации, используя фильтрацию RFC 2827. Данный тип фильтрации может проводить и провайдер, но пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Ну и конечно же стоит использовать дополнительные методы аутентификации. Как и в случае со снифферов, данная мера может сделать IP-спуффинг не эффективным. Атака «Man-in-the-Middle» Она же «Человек посередине». Для осуществления такой атаки необходим доступ к пакетам, передаваемым по сети. Для это используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Такие атаки производятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии. Противодействие К сожалению, эффективно бороться с атаками типа «Человек посередине» можно только одним способом — с помощью криптографии. В таком случае даже если хакер и перехватит данные зашифрованной сессии, то у него на руках будет не перехваченное сообщение, а бессмысленный набор символов. Но здесь необходимо отметить, что если хакер перехватит информацию о криптографической сессии (например, ключ сессии), то это сведет все усилия на нет, поскольку он сможет расшифровать перехваченные данные. Атаки при помощи вредоносного ПО Это тоже сложно назвать именно что атакой, однако, такой метод имеет место быть, и актуальности пока не теряет. В первую очередь в данном случае стоит опасаться троянов, поскольку именно за счет такого ПО возможно колоссальная утечка важных данных. Но существует и много другого ПО, которое может сделать своё черное дело. Например, кейлоггеры. Противодействие В первую очередь, подготовка персонала. Обучение основам кибер-безопасности, и грамотного поведения при попытках провести атаку методом социальной инженерии, спамом, ******ом. Во-вторых, использование антивирусных средств надежного уровня. Ну и конечно же своевременное обновления операционной системы и всего используемого программного обеспечения. Атака «DNS-спуффинг» Данная атака вызывает повреждение целостности данных в системе DNS путём заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника. Когда DNS-сервер получает неаутентичные данные и кэширует их для оптимизации быстродействия, он становится отравленным и начинает предоставлять неаутентичные данные своим клиентам. Противодействие Для борьбы с DNS-спуффингом анализировать содержимое DNS трафика, либо использовать технологию DNSSEC: набор расширений IETF протокола DNS, направленный на предоставление DNS-клиентам аутентичных ответов на DNS-запросы и обеспечение их целостности, используя криптографию с открытым ключом.