Обзор техник сетевых атак на сетевом уровне модели OSI и методы противодействий

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство образования и науки РФ

ФГБОУ ВО «Челябинский государственный университет»

Институт информационных технологий

Кафедра информационных технологий и экономической информатики

КУРСОВАЯ РАБОТА

Обзор техник сетевых атак на сетевом уровне модели OSI и методы противодействий

Выполнил студент: Максимов И.Н.

ИИТ, ИВТЗ-301

Научный руководитель: Косенко М.Ю.

преподаватель кафедры информационных технологий

Челябинск 1919г.



ВВЕДЕНИЕ

«Кто владеет информацией, тот владеет миром»

Н. Ротшильд

В современных компьютерных сетях главной задачей является сохранение и защита пользовательской информации (данных). Информация обладает такими свойствами как:

· Конфиденциальность.

· Целостность.

· Доступность.

Конфиденциальность - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются согласно предусмотренными ими условиям.

Целостность (также целостность данных) - термин в информатике и теории телекоммуникаций, который означает, что данные полны и не были изменены при выполнении любой операции над ними.

Доступность - это состояние ресурсов автоматизированной информационной системы, при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации.

Основные методы защиты информации это:

1. Организационные методы. От полноты и качества которых, зависит эффективность функционирования системы защиты в целом;

2. Технические методы. Эти методы подразумевают наличие технических решений, которые обеспечивают защиту и контроль информации. А также программных методов защиты информации, которые обеспечивают разграничение доступа и исключение несанкционированного использования информации;

3. Правовые методы. К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.

Одной из главных задач любого предприятия является обеспечение качественной защиты данных в собственной локальной вычислительной сети. Угрозы могут исходить как снаружи (Internet) так и изнутри при работе в локальном режиме (Intranet).

Подключение локальной сети к Internet открывает возможности для сетевых атак, таких как:

· Перехват сеанса связи;

· Сетевая разведка;

· Вирусы;

· DoS атаки.

Злоумышленники могут непосредственно, с помощью специальных технических средств, подключиться к сети. И анализируя потоки данных использовать всю полученную информацию в своих корыстных целях.

Вопросы возможных атак на сетевом уровне модели OSI и методы защиты от них будут рассмотрены в данной работе.

атака сетевой порт доступ



1. ОБЗОР МОДЕЛЕЙ АТАК СЕТЕВОГО УРОВНЯ

1.1. Модель нарушителя

Под нарушителем предполагается личность или группа лиц, которые в результате преднамеренных или непреднамеренных действий обеспечивают реализацию угроз информационной безопасности.

Нарушители подразделяются на внутренних и внешних.

1) Внутренний нарушитель, осуществляет атаки, находясь в пределах контролируемой зоны информационной системы персональных данных.

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:

ь Обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);

ь Программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;

ь Технический персонал (рабочие подсобных помещений, уборщицы и т. п.);

ь Сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Любой внутренний нарушитель может иметь физический доступ к линиям связи, а так же системам электропитания и заземления.

Внутренний нарушитель может осуществлять такие виды атак, как:

· Атакующий, получив физический доступ к оборудованию, подключается в сеть и совершает несанкционированные действия либо парализует работу всей сети, путем захвата определенного оборудования;

· Установка дополнительного оборудования на узле, запрограммированное на перехват конфиденциальной информации и передачи ее злоумышленнику.

2) Внешний нарушитель, осуществляет атаки из-за пределов контролируемой зоны информационной системы персональных данных.

Внешний нарушитель может осуществлять:

ь Перехват обрабатываемых техническими средствами информационной системы персональных данных за счет их утечки;

ь Несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы, вирусов, вредоносных программ, алгоритмических или программных закладок;

ь Перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа к информации организационно-техническими мерами;

Внешний нарушитель может осуществлять такие виды атак, как:

· Ошибки пользователей или персонала;

· Сетевая разведка. Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети злоумышленник, как правило, пытается получить о ней как можно больше информации. С помощью сетевой разведки может быть произведен несанкционированный доступ к системе и хищение этой информации;

· DoS атаки. И т.п.

1.2. Модели атак

1.2.1. Анализатор трафика, (сниффер) -- программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого)

Перехват трафика может осуществляться:

ь обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концетраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

ь подключением сниффера в разрыв канала;

ь ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер(Network tap);

ь через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

ь через атаку на канальном (MAC-Spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

1.2.2 IP-спуфинг

Заключается в использовании чужого IP-адреса источника с целью обмана системы безопасности. Изменяется поле «адрес отправителя» IP-пакета. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес, а также с иными целями.

1.2.3 DoS (Denial of Service) отказ в обслуживании

Атака на вычислительную систему с целью довести её до отказа. Если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке.

Классификация DoS атак:

· Ping-флуд (flood-переполнение,насыщение). Насыщение полосы пропускания можно осуществить с помощью обычных ping-запросов только в том случае, если канал атакующего намного шире канала компьютера-жертвы. Но такая атака бесполезна против сервера, так как тот, в свою очередь, обладает довольно широкой полосой пропускания;

· ICMP-флуд (Smurf) -- один из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100 % гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник -- это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP-пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов;

· UDP-флуд. вместо ICMP пакетов используются пакеты UDP. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. При этом, если служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы;

· DNS усиление. Атакующий компьютер посылает запросы на DNS-сервер, указывая в передаваемом пакете, в поле IP-адрес источника, IP-адрес атакуемого компьютера. Ответ DNS-сервера превышает объём запроса в несколько десятков раз, что усиливает вероятность успешного завершения DoS-атаки;

· MAC-флуд (Канальный уровень модели OSI). Атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети;

· SYN-флуд (Транспортный уровень модели OSI). Злоумышленник посылает SYN-запросы на удалённый сервер, подменяя адрес отправителя. Ответный «SYN+ACK» отправляется на несуществующий адрес. В результате в очереди подключений появляются так называемые полуоткрытые соединения (half-open connection), ожидающие подтверждения от клиента. По истечении определённого тайм-аута эти подключения отбрасываются. Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений.

1.2.4 Сетевая разведка

Проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, нарушитель использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. Полностью избавиться от сетевой разведки невозможно. При отключении протокола ICMP на маршрутизаторах блокируется эхо-тестирование. Но в то же время теряются данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса.[4]

1.2.5 Злоупотребление доверием

Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная в внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, злоумышленник может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.2.6 Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован.



2. ОБЗОР МЕТОДОВ ЗАЩИТЫ

2.1 Анализатор трафика (Сниффер)

Может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию.

Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов -- форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Снизить угрозу сниффинга пакетов можно с помощью таких средств, как:

· Коммутируемая инфраструктура;

· Антснифферы;

· Криптография.

2.2 Защита от IP-спуфинга

Простейший способ проверить, что подозрительный пакет пришёл от верного отправителя -- отправить пакет на IP отправителя. Обычно для IP-спуфинга используется случайный IP, и вполне вероятно, что ответ не придёт. Если же придёт, имеет смысл сравнить поле TTL (Time to live) полученных пакетов. Если поля не совпадают -- пакеты пришли из разных источников.

На сетевом уровне атака частично предотвращается с помощью фильтра пакетов на шлюзе. Он должен быть настроен таким образом, чтобы не пропускать пакеты, пришедшие через те сетевые интерфейсы, откуда они прийти не могли. Например, фильтрация пакетов из внешней сети с исходным адресом внутри сети.

Одним из самых надёжных методов защиты от подмены IP-адреса является сопоставление MAC-адреса (Ethernet кадр) и IP-адреса (заголовок протокола IP) отправителя. Например, если пакет с IP адресом из внутренней сети имеет MAC адрес шлюза -- этот пакет стоит отбросить. В современных сетевых устройствах изменение MAC-адреса (физического адреса) не является проблемным.

2.3 Защита от DoS атак

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. Фильтры могут реализовываться как на уровне маршрутизаторов, управляемых свичей, так и специализированными аппаратными средствами.

Так же применяется маршрутизация по спискам контроля доступа ACL (межсетевые экраны).

2.4 Защита от сетевой разведки

Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке. Рис. 1



Рис.1

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать злоумышленнику, установить на хосте свои программные средства может хост-система HIDS (IDS уровня хоста).



3. МЕЖСЕТЕВОЕ ЭКРАНИРОВАНИЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ CISCO

3.1 Списки управления доступом

Стандартные списки доступа

Списки доступа (access lists) представляют собой общие критерии отбора, которые можно впоследствии применять при фильтрации дейтаграмм, для отбора маршрутов, определения приоритетного трафика и в других задачах.

Списки доступа, производящие отбор по IP-адресам, создаются командами access-list в режиме глобальной конфигурации, каждый список определяется номером - числом в диапазоне 0 ч 99. Каждая такая команда добавляет новый критерий отбора в список:

router(config)#access-list <номер_списка><{deny|permit}><IP-адрес> [маска_шаблона].

IP-адрес и маска шаблона записываются в десятично-точечной нотации, при этом в маске шаблона устанавливаются биты, значение которых в адресе следует игнорировать, остальные биты сбрасываются. При этом сетевая маска (netmask) и маска шаблона (wildcard) - это разные вещи. Например, чтобы строка списка сработала для всех узлов с адресами 1.16.124.ххх, адрес должен быть 1.16.124.0, а маска - 0.0.0.255, поскольку значения первых 24 бит жестко заданы, а значения последних 8 бит могут быть любыми. Как видно в этом случае маска шаблона является инверсией соответствующей сетевой маски. Однако маска шаблона в общем случае не связана с сетевой маской и даже может быть разрывной (содержать чередования нулей и единиц).

Например, строка списка должна сработать для всех нечетных адресов в сети 1.2.3.0/24. Соответствующая комбинация адреса и маски шаблона: 1.2.3.1 0.0.0.254. Комбинация «адрес - маска шаблона» вида 0.0.0.0 255.255.255.255 (то есть соответствующая всем возможным адресам) может быть записана в виде одного ключевого слова any. Если маска отсутствует, то речь идет об IP-адресе одного узла. Операторы permit и deny определяют, соответственно, положительное (принять, пропустить, отправить, отобрать) или отрицательное (отбросить, отказать, игнорировать) будет принято решение при срабатывании данного критерия отбора. Например, если список используется при фильтрации дейтаграмм по адресу источника, то эти операторы определяют, пропустить или отбросить дейтаграмму, адрес источника которой удовлетворяет комбинации «адрес - маска шаблона». Если же список применяется для идентификации какой-либо категории трафика, то оператор allow отбирает трафик в эту категорию, а deny - нет. Список доступа представляет собой последовательность из одного и более критериев отбора, имеющих одинаковый номер списка.

Последовательность критериев имеет значение: маршрутизатор просматривает их по порядку; срабатывает первый критерий, в котором обнаружено соответствие образцу; оставшаяся часть списка игнорируется. Любые новые критерии добавляются только в конец списка. Удалить критерий нельзя, можно удалить только весь список. В конце списка неявно подразумевается критерий «отказать в любом случае» (deny any) - он срабатывает, если ни одного соответствия обнаружено не было.

Для аннулирования списка доступа следует ввести команду: router(config)#no access-list <номер_списка>.

Чтобы применить список доступа для фильтрации пакетов, проходящих через определенный интерфейс, нужно в режиме конфигурации этого интерфейса ввести команду:

router(config-if)#ip access-group <номер_списка> <{in|out}>. Ключевое слово in или out определяет, будет ли список применяться к входящим или исходящим пакетам соответственно.

Входящими считаются пакеты, поступающие к интерфейсу из сети. Исходящие пакеты движутся в обратном направлении. Только один список доступа может быть применен на конкретном интерфейсе для фильтрации входящих пакетов, и один -для исходящих. Соответственно, все необходимые критерии фильтрации должны быть сформулированы администратором внутри одного списка. В стандартных списках доступа отбор пакетов производится по IP-адресу источника пакета.

Пример: «Создать стандартный список доступа, разрешающий прохождения сетевых пакетов только для сетей 192.168.20.1/24 и 10.0.0.1/24». Для этого в глобальном контексте конфигурирования необходимо выполнить следующие команды:

router(config)#access-list 1 permit 192.168.20.1 0.0.0.255

router(config)#access-list 1 permit 10.0.0.1 0.0.0.255

router(config)#access-list 1 deny any any.

Расширенные списки доступа

Кроме стандартных (standard) списков доступа существуют также расширенные (extended), имеющие большее количество параметров и предлагающие более богатые возможности для формирования критериев отбора. Расширенные списки доступа создаются также с помощью команды access-list в режиме глобальной конфигурации, но номера этих списков лежат в диапазоне 100-199. Пример синтаксиса команды создания строки расширенного списка для контроля TCP-соединений:

router(config)#access-list<номер_списка> <{deny|permit}> tcp <IP-адрес_источника> <маска_шаблона> [оператор порт[порт]]<IP-адрес_получателя> <маска_шаблона> [оператор порт[порт]] [established]

Маски шаблона для адреса источника и узла назначения определяются так же, как и в стандартных списках. Оператор при значении порта должен иметь одно из следующих значений: lt (меньше), gt (больше), eq (равно), neq (не равно), range (диапазон включительно). После ператора следует номер порта (или два номера порта в случае оператора range), к которому этот оператор применяется. Комбинация оператор-порт, следующая сразу же за адресом источника, относится к портам источника. Соответственно, комбинация оператор-порт, которая следует сразу же за адресом получателя, относится к портам узла-получателя. Применение этих комбинаций позволяет отбирать пакеты не только по адресам мест отправки и назначения, но и по номерам TCP- или UDP-портов. Кроме того, ключевое слово established определяет сегменты TCP, передаваемые в состоянии установленного соединения. Это значит, что строке, в которую включен параметр established, будут соответствовать только сегменты с установленным флагом ACK (или RST).

Пример: «запретить установление соединений с помощью протокола Telnet со всеми узлами сети 22.22.22.0 netmask 255.255.255.0 со стороны всех узлов Интернета, причем в обратном направлении все соединения должны устанавливаться; остальные TCP-соединения разрешены». Фильтр устанавливается для входящих сегментов со стороны Интернета (предположим, к Интернету маршрутизатор подключен через интерфейс FastEthernet 1/0).

router(config)#access-list 101 permit tcp any 22.22.22.0 0.0.0.255 eq 23 established

router(config)#access-list 101 deny tcp any 22.22.22.0 0.0.0.255 eq 23

router(config)#access-list 101 permit ip any any

router(config)#interface FastEthernet 1/0

router(config-if)#ip access-group 101 in.

Указание ip вместо tcp в команде access-list означает «все протоколы». Отметим, что в конце каждого списка доступа подразумевается deny ip any any, поэтому в предыдущем примере мы указали permit ip any any для разрешения произвольных пакетов, не попавших под предшествующие критерии. Расширенный список с протоколом ip позволяет также производить отбор произвольных пакетов по адресу отправителя и по адресу получателя (в стандартных списках отбор производится только по адресу отравителя). Критерии для отбора UDP-сообщений составляются аналогично TCP, при этом вместо tcp следует указать udp, а параметр established, конечно, не применим.

Контроль за ICMP-сообщениями может осуществляться с помощью критериев отбора типа:

router(config)#access-list<номер_списка><{deny|permit}> icmp <IP-адрес_источника><маска_шаблона><IP-адрес_назначения> <маска_шаблона>[icmp-тип [icmp-код]].

Здесь icmp-тип и, если требуется уточнение, icmp-код определяют ICMP-сообщение. Вообще, в расширенных списках можно работать с пакетами любого IP-протокола. Для этого после оператора deny/permit надо указать название протокола (ahp, esp, eigrp, gre, icmp, igmp, igrp, ipinip, ospf, tcp, udp) или его номер, которым он кодируется в поле Protocol заголовка пакета. Далее указываются адреса источника и узла назначения с масками и, возможно, дополнительные параметры, специфичные для данного протокола.

В конце команды access-list (расширенный) можно указать параметр log, тогда все случаи срабатывания данного критерия (то есть обнаружения пакета, соответствующего критерию), будут протоколироваться на консоль или как указано командой logging. После того, как протоколируется первый случай срабатывания, дальше сообщения посылаются каждые 5 минут с указанием числа срабатываний за отчетный период. Просмотр имеющихся списков доступа (c указыванием числа срабатываний каждого критерия): router#show access-lists.[3]

3.2 Межсетевые экраны Cisco PIX

Существуют три сетевые зоны, с которыми работают межсетевые экраны: внутренняя, внешняя и демилитаризованная. Основной функцией межсетевого экрана является защита узлов, находящихся во внутренней и демилитаризованных зонах от воздействий с узлов, расположенных во внешней зоне. Внутренняя (inside) зона является так называемой доверительной зоной, к которой относятся устройства и конечные узлы закрытой сети. Обычно эти устройства и узлы подчиняются определенной политике безопасности при работе с другими сетями, относящимися к внешней зоне. Внешняя зона (outside) объединяет недоверенные (non-Trusted) сети. Демилитаризованная зона DMZ (De-Militarized Zone) является частью защищаемой сети, для которой устанавливаются особые правила безопасности. Обычно DMZ создается в случае необходимости размещения в сети серверов публичного доступа, например web-сервера.

Общим компонентом данных устройств является применение адаптивного алгоритма безопасности ASA. Cisco PIX Firewall является межсетевым экраном, использующим технологию пакетной фильтрации с запоминанием состояния (технология динамической фильтрации). Эта технология реализуется адаптивным алгоритмом безопасности (ASA - Adaptive Security Algorithm), основанным на концепции уровней безопасности (security levels).

Уровень безопасности определяет степень доверия к тому или иному интерфейсу межсетевого экрана в зависимости от того, защищен он или нет относительно другого интерфейса. С помощью ASA осуществляется изоляция подключенных к межсетевому экрану сегментов сетей, поддерживаются так называемые периметры безопасности и контролируется трафик, проходящий между этими сегментами сетей.

Каждому интерфейсу Cisco PIX Firewall присваивается уровень безопасности от 0 до 100. Значение уровня 100 означает самый высокий уровень безопасности устройства. Этот уровень назначается по умолчанию интерфейсу, связанному с внутренней (inside) зоной. Без создания определенных разрешений узлы внешней зоны не получат доступ к внутренней зоне, тогда как узлы внутренней зоны имеют доступ к другим (внешним) зонам. Значение уровня 0 устанавливает наименьший уровень безопасности. Назначается по умолчанию интерфейсу, связанному с внешней (outside) зоной. Так как 0 является самым низким значением, то за этим интерфейсом обычно находится самая незащищенная сеть, что позволяет ограничить доступ узлов этой сети к сетям, находящимся за другими интерфейсами без явного разрешения. Уровни безопасности от 1 до 99 назначаются другим задействованным интерфейсам межсетевого экрана и определяют тип доступа, предоставляемый этим интерфейсам.

Уровни безопасности определяют поведение по умолчанию алгоритма следующим образом:

1) ASA разрешает соединения, исходящие от узлов, находящихся в защищаемой сети, то есть соединения с интерфейса с большим уровнем безопасности на интерфейсы с меньшим уровнем безопасности;

2) ASA запрещает соединения от узлов, находящихся в незащищенной сети, то есть соединения с интерфейса с меньшим уровнем безопасности на интерфейс с большим уровнем безопасности;

3) ASA запрещает подключенных к интерфейсам с одинаковыми уровнями безопасности;

4) ASA разрешает соединения, идущие от узлов, находящихся в незащищенной сети, к узлам в защищенной сети (соединения с интерфейса с меньшим уровнем безопасности на интерфейс с большим уровнем безопасности) только в случае, если соблюдаются два условия:

· существует статическая трансляция для адреса назначения (NAT static translation);

· задан список доступа (или conduit), разрешающий данное соединение.

Алгоритм ASA функционирует как динамический (stateful), ориентированный на соединение (connection-oriented) процесс, сохраняющий информацию о сессиях в таблице состояний (statetable). Контроль трафика, проходящего через межсетевой экран, осуществляется путем применения политики безопасности и трансляции адресов к таблице состояний. [1][3]

Технология NAT.

NAT (Network Address Translation) - трансляция адресов, позволяющая скрывать адреса сети от узлов, находящихся за Cisco PIX. При прохождении пакетов через Cisco PIX внутренние адреса сети перед выходом с внешнего интерфейса транслируются в другие адреса. NAT конфигурируется с помощью команд nat и global. Когда исходящий пакет от узла, находящегося во внутренней зоне, попадает на Cisco PIX, на котором сконфигурирована система NAT, адрес источника пакета сравнивается с таблицей существующих трансляций. Если этого адреса источника нет в таблице, он транслируется в один из адресов пула и в таблице трансляций появляется новая запись для этого адреса источника. Пул выдаваемых адресов конфигурируется командой global. В результате этого происходит обновление таблицы трансляций, а пакет перенаправляется дальше. По истечении определенного времени (значение по умолчанию равно трем часам) запись в таблице трансляций для адреса источника, не пославшего ни одного пакета, очищается и адрес, выданный из пула, освобождается для использования другими узлами внутренней зоны. [3]



ЗАКЛЮЧЕНИЕ

Для предотвращения атак на сетевом уровне необходимо грамотно сконфигурировать и настроить сеть. Максимально использовать имеющийся потенциал, начиная от конкретных физических устройств и кончая средствами мониторинга. Основные моменты:

ь Коммутаторы вместо концетраторов;

ь Пакетные фильтры (межсетевые экраны сетевого уровня)

Пакетные фильтры контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов. Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного, уровня (например, TCP или UDP).

Однако в пакетных фильтрах отсутствует возможность анализа протоколов более высоких уровней сетевой модели OSI. Кроме того, пакетные фильтры обычно уязвимы для атак, которые используют подделку сетевого адреса. Такие атаки обычно выполняются для обхода управления доступом, осуществляемого межсетевым экраном[5];

ь Технология NAT;

ь Мониторинг управления доступом:

· IDS - Система выявления вторжений;

· IPS - Система предотвращения вторжений;

· сетевые снифферы, хосты приманки.

Архитектура IDS и IPS

ь Внимание к внутренним угрозам

Если уделять внимание только внешним угрозам, то это приводит к тому, что сеть становится открытой для атак изнутри. Хотя это и маловероятно, но следует рассматривать возможность того, что нарушитель может как-то обойти firewall и получить свободу действий для атак внутренних или внешних систем. Следовательно, важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних firewall'ов или DMZ-зон.

Обзор атак сетевого уровня модели OSI, проведённый в данной курсовой работе показал, что каким бы ни были применённые средства защиты, всё равно для надёжной работы сети, необходим постоянный контроль со стороны системного администратора.



СПИСОК ЛИТЕРАТУРЫ

1. Программа сетевой академии Cisco CCNA 1 и 2. Вспомогательное руководство, 3-е изд., с испр. / пер. с англ. - М. : Издательский дом «Вильямс», 2005. - 1168 с. Лапонина 2014.

2. Андрончик, А. Н. Сетевая защита на базе технологий фирмы Cisco Systems. Практический курс : учеб. пособие / А. Н. Андрончик, А. С. Коллеров, Н. И. Синадский, М. Ю. Щербаков ; под общ. ред. Н. И. Синадского. - Екатеринбург : Изд-во Урал. ун-та, 2014. - 180 с.

3. Олифер В.Г. Олифер Н.А. Компьютерные сети [Книга]. - СПб. : Питер, 2010. - 4-е издание.



ПРИЛОЖЕНИЕ №1

Конфигурирование Cisco PIX Firewall

Рис.1

Всем пользователям внутренней сети разрешен неограниченный доступ в Интернет. Также пользователям разрешено выполнять команду ping до узлов в сети «Интернет», в то время как пользователям со стороны сети «Интернет» это запрещено. Провайдером выделен диапазон внешних адресов класса C: 88.88.88.0/24. Адреса 88.88.88.1 и 88.88.88.2 зарезервированы для внешнего маршрутизатора и внешнего интерфейса PIX (см. рис. 1.). Адреса диапазона 88.88.88.3 ч 88.88.88.5 отведены для серверов, а адреса 88.88.88.4 ч 88.88.88.14 зарезервированы для будущего использования, для пользователей внутренней сети выполняется процедура трансляции адресов.

Настройка Cisco PIX Firewall.

PIX(config)#nameif ethernet0 outside security0

PIX(config)#nameif ethernet1 inside security100

PIX(config)#hostname pixfirewall

PIX(config)#fixup protocol ftp 21

PIX(config)#fixup protocol http 80

PIX(config)#fixup protocol h323 1720

PIX(config)#fixup protocol rsh 514

PIX(config)#fixup protocol smtp 25

PIX(config)#fixup protocol sqlnet 1521

PIX(config)#fixup protocol sip 5060

PIX(config)#names.

ACL, разрешающий исходящие ICMP-запросы и ответы на них:

PIX(config)#access-list 100 permit icmp any any echo-reply

PIX(config)#access-list 100 permit icmp any any time-exceeded

PIX(config)#access-list 100 permit icmp any any unreachable.

разрешения для пользователей Интернет подключаться к Web-, Mail-, и FTP-серверам:

PIX(config)#access-list 100 permit tcp any host

88.88.88.3 eq www

PIX(config)#access-list 100 permit tcp any host

88.88.88.4 eq smtp

PIX(config)#access-list 100 permit tcp any host

88.88.88.5 eq ftp.

Включить режим ведения журналов:

PIX(config)#logging on

PIX(config)#no logging timestamp

PIX(config)#no logging standby

PIX(config)#no logging console

PIX(config)#no logging monitor.

Установить режим сохранения сообщений об ошибках в локальном буфере:

PIX(config)#logging buffered errors.

Включить все интерфейсы (выключены по умолчанию):

PIX(config)#interface ethernet0 auto

PIX(config)#interface ethernet1 auto.

Назначить IP-адреса сетевым интерфейсам:

PIX(config)#ip address outside 88.88.88.2 255.255.255.0

PIX(config)#ip address inside 192.168.0.1 255.255.255.0.

Определить пул трансляции адресов, которые используют внутренние узлы для выхода в Интернет:

PIX(config)#global (outside) 1 88.88.88.15-88.88.88.253.

Определить адрес, который будет использоваться, когда выделенный пул адресов закончится:

PIX(config)#global (outside) 1 88.88.88.254

Установить разрешение для всех внутренних узлов на использование NAT или PAT, определенные ранее:

PIX(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0.

Задать статическую трансляцию для внутренних Web-почтового и FTP-серверов, чтобы они были доступны из Интернета:

PIX(config)#static (inside,outside) 88.88.88.3

192.168.0.4 netmask 255.255.255.255 0 0

PIX(config)#static (inside,outside) 88.88.88.4

192.168.0.5 netmask 255.255.255.255 0 0

PIX(config)#static (inside,outside) 88.88.88.5

192.168.0.6 netmask 255.255.255.255 0 0.

Применить разработанный ACL с номером 100 к внешнему интерфейсу, выполнив в его контексте конфигурирования команду:

PIX(config)#access-group 100 in interface outside.

Назначить маршрут по умолчанию на маршрутизатор провайдера услуг Интернет командой в глобальном контексте конфигурирования:

PIX(config)#route outside 0.0.0.0 0.0.0.0 88.88.88.1 1.

Размещено на Allbest.ru