SlideShare a Scribd company logo

Методи и средства за филтриране на трафика в Lan мрежи

Download as DOCX, PDF
D
Dido Viktorov

Методи и средства за филтриране на трафика в Lan мрежи

Education
1 of 15
Икономически университет – Варна Катедра – Информатика Реферат Тема: Методи и средства за филтриране на трафика в LAN мрежи по Безопасност и защита на компютърни системи и приложения Разработил: Деян Викторов Чакъров Преподавател: Доц.д-р Стефан Дражев специалност: ИТ иновации в бизнеса Преподавател: ас. Радка Начева СИН №: 400474, Ф. №: 104865
Съдържание Увод. ............................................................................................................................................. 1 I. Заплахи и контрамерки......................................................................................................... 2 1. Събиране на информация. ............................................................................................ 3 2. Душене (sniffing)............................................................................................................ 3 3. Измама (spoofing). ......................................................................................................... 4 4. Прихващане на сесия. ................................................................................................... 4 5. Отказ от услуга. ............................................................................................................. 5 II. Методи и средства за защита. .......................................................................................... 5 1. Рутер. .............................................................................................................................. 6 2. Защитна стена (Firewall). .............................................................................................. 9 3. Комутатор (switch)....................................................................................................... 10 4. Допълнителни средства за филтриране..................................................................... 11 Заключение................................................................................................................................. 12 Използвана литература. ............................................................................................................ 13
1 Увод. Целта на настоящата курсова работа е да се направи анализ на потенциалните заплахи и да се пояснят методите и средствата за повишаване на сигурността, без които не би било възможно да се приложи акуратна защита в локалната мрежа. LAN (на английски: Local Area Network, LAN) е вид малка компютърна мрежа, която обслужва компютри и други устройства, като например мрежови принтери или скенери, свързани помежду си. Връзката между устройствата се осъществява посредством Ethernet стандарт чрез кабели или през Wi-Fi въздушно свързване чрез радио сигнали по определени стандарти. Локалните мрежи служат за споделяне и обмен на информация между компютрите. Могат и да се свързват приложения, които са инсталирани на различни компютри в мрежата, например програма, която работи на един компютър, би могла да използва помощни програми от друго устройство. Възможно е и синхронизиране на файлове в цялата мрежа. LAN мрежите се делят на няколко вида. Според организацията или мрежовите протоколи, които използват, мрежите биват с равноправен достъп (peer-to-peer) или тип клиент-сървър. При втория тип един от компютрите има централна роля и се нарича сървър, а останалите се наричат клиенти или работни станции. При мрежите с равноправен достъп всеки компютър работи и като клиент и като сървър. Топологията на мрежата описва геометричната структура на междусистемните връзки между устройства и мрежови сегменти например пръстен или звезда. Мрежите могат да се делят и йерархично на два типа: работна група (Workgroup) и домейн (Domain). При работната група всички работни станции са равнопоставени, докато в домейна структурата е пирамидална. За да се гарантира нормалния обмен на информация между потребителите е необходимо да се прилага определен контрол (филтриране) на потока от данни, спомагащ за облекчаване на трафика в локалната мрежа и повишаване на сигурността. Филтрирането е процес на пропускане или блокиране на пакети от информация в мрежовия интерфейс на базата на адреса на източника и на получателя, на портове или протоколи. Често се използва в комбинация с компресирането на пакети и с Network Address Translation (NAT). Може да бъде и част от защитна стена, предотвратяваща нежелана намеса в локалната мрежа.
2 I. Заплахи и контрамерки. Локалната мрежа е входната точка за приложенията на потребителите. Тя осигурява първоначален контрол чрез правила за достъп до различни сървъри във виртуалната среда. Сървърите са защитени от техни собствени приложения в операционната им система, но е изключително важно да не бъдат атакувани от различни заплахи от мрежово ниво. Не трябва да се позволява и контролните правила да бъдат променяни или подменяни от измамници. Накратко, мрежовата сигурност включва защита на мрежови устройства и данните, които те предават. Основните компоненти на мрежата, които играят роля на предна защита са рутер, защитна стена и суич (Фигура 1). Фигура 1 – Структура на LAN мрежа. Хакерите търсят слабо конфигурирани мрежи, които да експлоатират. Общите уязвимости включват слаба инсталация по подразбиране, широк достъп до контролните функции и недобре свързани устройства. С най – вискок риск са следните заплахи:  събирането на информация;
3  „душене“ (sniffing1) ;  измамама, заблуда (spoofing2);  прихващане на сесия на предаване на информация;  отказ от услуга (denial-of-service – DoS). С познаването на основните заплахи, които могат да заплашат локалната мрежа, могат да се приложат ефективни методи за отблъскването им. 1. Събиране на информация. Събирането на информация може да разкрие детайлно цялата топография на LAN мрежата, конфигурацията на системата и на мрежовите устройства. Хакерите използват този метод, за да насочат атаките си към откритите слабости. Основните недостатъци, които правят мрежата податлива на недобронамерени действия са несигурната природа на TCP/IP протоколите, информация за конфигурацията, предоставена от банери, и открит достъп до услуги, които могат да бъдат блокирани. Най – общо атаките при събирането на информация се състоят от използването на команда Tracert, за да се засече структурата на мрежата, на команда Telnet за отваряне на портове за достъп на банери, сканиране за отворени портове и излъчване на заявки (broadcast requests) за определяне броя на хостовете в мрежата. Тези пропуски в сигурността могат да се избегнат чрез изполването на банери, чиято функционалност не предоставя информация за конфигурацията като версия или име на софтуера. Прилагат се защитни стени, маскиращи услугите, които не бива да бъдат изложени в публичното пространство. 2. Душене (sniffing). Душенето, още наречено подслушване, е акт на наблюдаване на мрежовия трафик за данни, като пароли в явен текст или информация за конфигурацията на мрежата. С прост пакет 1 Sniffing е технология за прихващане на информация чрез следене и четене на информацията от целия трафик на мрежата. 2 Spoofing е заблуждаване или измама на компютърни системи или потребители най – често през имейл.
4 sniffer, целия трафик може да бъде прочетен лесно. Също така леките „хаш“ алгоритми (алгоритми за раздробяване на трафика на пакети) могат да бъдат кракнати и информацията заложена в тях да бъде разшифрована. Слабите места, правещи мрежата податлива на подслушване включват слаба физическа сигурност, липса на криптиране на информацията при изпращането на чувствителни данни и услуги, комуникиращи в прав текст или при слабо криптиране. Хакерите поставят sniffer пакети из локалната мрежа, за да прихванат целия трафик. Противодействия биха били силната физическа защита, предотвратяваща поставянето на външни устройства в мрежата, и закодирани идентификационни данни при предавнето на информацията. 3. Измама (spoofing). Спууфинг, познато още като присвояване на самоличност, е предназначено да скрие истинската идентичност в мрежата. Използва се фалшив източник на адрес, който не представлява актуалния адрес на инициатора на пакета от данни. Може да се използва за прикриване на източника на атака или да влияе на контролните списъци за достъп до мрежата, които ограничават използването на мрежата от хостовете, базирано на адресни правила за вход. Причините, правещи LAN мрежата уязвима на този вид атаки са: несигурния характер на TCP/IP протокола и липсата на пресяване на информацията при входа и изхода на мрежата. Входиращото филтриране (ingress filtering) е проверяването на всеки IP пакет с несигурен адрес на източника преди да постъпи и окаже въздействие в системата. Изходното филтриране (egress filtering) е процес на проверка на изходящия от мрежата трафик. Хакер може да използва различни инструменти, за да модифицира изходящите пакети по такъв начин, че да изглеждат сякаш произлизат от заместваща мрежа или хост. Защитата би се подобрила ако се прилага входящо и изходящо филтриране при рутера на мрежата. 4. Прихващане на сесия. С прихващането на сесия, атакуващият използва приложение, което се маскира или като клиент или като сървър. Това води до заблуждаването и на сървъра и на потребителя, че източника на потока от данни е легитимен хост и мрежата е манипулирана, че именно той е желаната дестинация. Тази атака се използва за придобиването на информация за пароли или
5 конфиденциални данни. Проблем предизвикващ подобни недоброжелателни действия са слабата физическа защита, несигурния TCP/IP протокол и некриптираната комуникация между устройствата в мрежата. Използват се разнообразни средства за заблуждаване, промени в маршрутизацията и манипулиране на потока от данни. За да се избегне прихващането на информацията е необходимо кодиране на сесиите и редовна проверка на състоянието на защитната стена. 5. Отказ от услуга. Атаката отказ от услуга (DoS), представлява отричане на достъпа на легитимни потребители до сървъра или до различни услуги в системата. Обикновено се осъществява чрез наводняване на мрежата с трафик, като по този начин се изразходват голяма част от честотата на предаване и ресурсите на мрежата. Слаби места са присъщата несигурност в на TCP/IP протокола, слабата конфигурация на машрутизатора или комутатора, предаване на некодирани данни или бъгове в софтуера на услугите. Атаките включват използването на каскадно наводняване с пакети от информация, SYN3 атаки и експлоатиране на системата чрез препълване на буфера. Противодействие би било филтриране на излъчваните заявки, филтрирането на интернет контрол на съобщенията протокола (ICMP) и актуализирането на софтуера на услугите. II. Методи и средства за защита. За да се защити дадена система или мрежа е необходимо да се осъзнае как работи тя. Мрежовата инфраструктура би могла да се разбие на няколко нива: достъп, дистрибуция и ядро. Тези елементи съдържат целия необходим хардуер за контрол на достъпа от и към външни и вътрешни ресурси. Основните компоненти на мрежата са:  маршрутизатор (router) – най външната защита, отговорна за рзпределянато на IP пакетите в мрежите, за които е свързан. Използва се за блокирането на нежелан и 3 SYN attacks – последователност от SYN заявки до определена система, за да се заемат достатъчно ресурси и по този начин системата да стане неизползваема за легитимните хостове.
6 неоторизиран трафик между мрежите. Той също би следвало да е защитен срещу реконфигуриране с актуален административен софтуер;  защитна стена (firewall) – ролята на защитната стена е да блокира неизползваните портове и да позволява трафик само от познатите такива. Тя трябва да наблюдава пристигащите заявки за предотвратяване на атаки към сървъра;  комутатор (switch) – с минимална раля в сигурната мрежова среда. Предназначен е за подобряване на мрежовата производителност и улесняване на администрирането. Поради тази причина той може да бъде лесно конфигуриран чрез изпращането на специални форматирани пакети към него. 1. Рутер. Рутера осигурява маршрутизирането на пакетите от данни и може да блокира или филтрира разпространението на такива пакети, за които се знае, че са уязвими или могат да бъдат използвани злонамерено, като ICMP или SNMP (Simple Network Management Protocol) протоколите. Ако на този етап липсва контрол, то последващата защита би била неефективна. Основните конфигурационни категории на маршрутизатора са пачове и ъпдейти, протоколи, администриране на достъпа, мрежови услуги, контрол на входа на мрежата и засичане на прониквания в нея. Допълването на софтуера и неговото редовно актуализиране (patches and updates), което се осигурява от производителя на мрежовия хардуер, спомага за познаването на актуланите пропуски в защитата и софтуерните услуги и своевременното реагиране на заплахите. Атаките от типа октаз от услуга често се възползват от слабостите на ниво протоколи. За ефективни контрамерки е необходимо използването на филтриране на входа и на изхода на мрежата и наблюдаване на ICMP трафика от интернет пространството. Входящи заявки с вътрешен мрежови адрес, са ясна индикация за опит за проникване или проучване, и би следвало да им се отказва достъп до обхвата на LAN мрежата. Настройването на рутера да маршрутизира изходящи пакети само ако те имат валиден мрежови адрес, не предпазва от външни атаки, но поне предотвратява тяхното възникване във вътрешната мрежова среда. ICMP е протокол, който стои на върха на мрежовия адрес и позволява достъпната информация между два хоста да бъде проверена. Най – често използваните ICMP съобщения са показани в Таблица 1.
7 Таблица 1 Основно използвани ICMP съобщения Съобщения Описание Echo request Определя дали хост или рутер е достъпен в мрежата Echo reply Отговаря на ICMP echo request Destination unreachable Информира хост че, данните не могат да бъдат доставени Source quench Информира хоста да намали скоростта на предаване на данните поради задръстване на трафика Redirect Информира хоста за предпочитания маршрут Time exceeded Изтичане на времето на сесията Блокирането на ICMP протокола от въшния периметър на рутера, защитава от наводняване на трафика в мрежата. Поради тази причина е важно да се контролира и да се използва само в Echo request състояние. Директния трафик може да спомогне за разкриване на цялата структура на мрежата и за атаки от типа отказ от услуга. Например с блокирането на определни мрежови адреси може да се предотврати злонамерени „ехо заявки“ да блокират честотата на мрежата. Такива адреси са показани в Таблица 2. Таблица 2 Адреси за блокиране Адреси Описание 0.0.0.0/8 Исторически първия адрес за излъчване на заявки 10.0.0.0/8 Адрес, запазен за подмрежовата маска 127.0.0.0/8 Адрес за тестване на способността за излъчване на заявки
8 169.254.0.0/16 Адрес за свързване на локални мрежи 172.16.0.0/12 Запазен от IETF4 за частна мрежа 192.0.2.0/24 Адрес използван за специални цели IETF 192.168.0.0/16 Използван за комуникация в частна мрежа 224.0.0.0/4 Запазен за множество зададния 240.0.0.0/5 Запазен за бъдещо ползване 248.0.0.0/5 Неразпределен адрес 255.255.255.255/32 Адрес, запазен за излъчване на заявки в цялата мрежа За допълнителна защита трябва да се зададе на рутера точно от кой хост и коя мрежа ще се извършва административния достъп и да се ограничат всички други възможности за вход към устройството. Нужно е да се остави активен само интерфейса, който е необходим, да се въведат сложни кодове за достъп, да се използва статично маршрутизиране и да се прави строга проверка на уеб приложенията за администриране (външен интерфейс) и ако е възможно да се остави активен само софтуера за администриране от вътрешни източници. Всеки отворен порт на рутера се асоциира с услуга за приемане на заявки (listening service). За да се редуцира обхата на дадена атака, е необходимо всички ненужни портове да бъдат изключени. Например услугите bootps и Finger, които са рядко използвани. Маршрутизатора може да бъде сканиран, за да се проверят кои портове са отворени. По подразбиране всички логове (свързвания) към рутера не извършват някакви действия. Трябва да се осигури централно място на съхранение на лог файловете. Съвременните маршутизатори имат набор от функции за регистриране, което включва възможността да се зададе предимство на логванията в зависимост от преходни данни за свързванията. Следва да се 4 IETF - основните органи в областта на техническите разработки и определянето на стандарти за Интернет.
9 зададе и график за рутинна проверка на лог файловете за признаци на проникване или сондиране на мрежата. С правилно зададени ограничения в рутера за предотвратяване на TCP/IP атаки, той би могъл да засече кога се извършва недоброжелателна намеса в системата и да уведоми системния администратор на устройството. Поради факта, че хакерите научават устройството на LAN системата, те могат да заобиколят наложените ограничения за достъп в нея, а системите за засичне на намеса (Intrusion Detection Systems – IDSs) помагат да се определи къде точно ще бъде извършена атаката. 2. Защитна стена (Firewall). Наложително е всеки път когато се оперира в среда на непозната мрежа да бъде приложена защитна стена. След рутера с неговите средства за филтриране на трафика, защитна стена е следващата цел за атака. В повечето случаи хостовете нямат достъп до маршрутизатора, но много от неговите филтри могат да се приложат и при защитната стена. Категориите за конфигуриане на Firewall включват допълване на софтуера и неговото обновяване, филтриране, контрол и наблюдения на свързванията, периметър на мрежите и засичане на непозволени намеси в системата. Обновяванията на софтуера спомагат за информираност за най – новите видове атаки и по този начин защитата би била по – ефективна. Филтрирането на отворени портове на защитната стена е ефективен начин за блокиране на злонамерени пакети в трафика на мрежата. Обхвата на филтритте варира от филтриране на прости пакети от данни, които ограничават трафика, до сложни филтри на апликациите, които проверяват натоварването, предизикано от конкретни приложения. Използването на слоесто филтриране е много ефективен начин за блокиране на атаки. Съществуват няколко типа филтри на защитната стена: пакетни филтри (packet filters) – базирани на протоколи, на адреса на изпращача и получателя или на име на компютър; филтри на верижно ниво (circuit-level filters) – инспектират повече сесиите вместо пренасяния пакет от данни; филтри на приложенията (application filters) – анализиране на потока от данни, произлизащ от приложения и осигуряване на определено обработване на информацията; зададени филтри (stateful inspection) – преглед на
10 състоянието на мрежовите връзки и сесии и тяхната цялост, при пътуването им из LAN средата; филтри за специални приложения (custom application filters) – осигуряват целостта на комуникацията на приложенията от типа клиент-сървър. Трябва да се приложат следните политики за свързванията (logging): да се следи целия трафик, поддържане на логова ротация за по – бърз анализ на данните и синхронизация на часа с другите устройства в мрежата. Така би било възможно да се засекат опити за външни намеси в мрежата или в по – лошия случай, да се установят вече извършени такива. Периметъра от мрежи представлява определяне на вида мрежи, с които оперират хостовете. Например ако интернет сървърите се свързват с крайна мрежа като хранилища на база данни или корпоративна мрежа, то между двете трябва да има екран, който да ги изолира. Предимства са че, работните станции и сървъри не са директно изложени на ненадежни мрежи, отворените посртове и услуги са единствените входове за атаки, при достъпа се прилагат правилата за сигурност. Слабостите са висока сложност на мрежата, разпределяне и управление на IP адресите, изисквания към приложенията да съвпадат с дизайна на зададените мрежи. 3. Комутатор (switch). Комутатора отговаря за разпределението на пакетите от данни директно към хост или сегмент от мрежата. Трафикът не се споделя между мрежи, свързани със суич. Това е превантивна мярка срещу подслушване на пакетите между мрежите. Един хакер може да заобиколи лесно тази защита чрез реконфигуриране на правилата заложени в комутатора, използвайки лесно достъпни административни интерфейси или познаване на паролите и имената на потребителите и използването на прост протокол за управление на съобщенията (Simple Network Management Protocol – SNMP). Категориите за прилагане на защита са актуализиаране на софтуера, виртуални мрежи (Virtual Local Area Networks – VLANs), промяна на заложените по подразбиране правила за достъп, мрежови услуги и криптиране на данните. Обновяването на софтуера е наложително за осъвременяване информацията за съществуващите към момента заплахи. Виртуалните мрежи се използват за сегментиране на мрежите и прилагане на правила за достъп към тях. Промяната на правилата за достъп означава промяна на всички пароли и протоколи на ниво SNMP, заложени по подразбиране. Изклюване
11 на всички неизползвани усуги – Trivial File Transfer Protocol (TFTP) е спрян, админстративните точки на достъп, базирани на интернет, премахнати и приложен към комутатора списък на разрешения за достъп (ACLs5). Въпреки че, криптирането не се изпълнява традиционно при комутатора, то неговото прилагане спомага да се създаде допълнително звено за защита при свързаните с него мрежи. 4. Допълнителни средства за филтриране. Съществуват и различни софтуерни средства за филтриране на трафика и контрол на достъпа до LAN мрежи. Представляват сложни приложения, предоставящи на мрежовите инженери или администратори, подходящи инструменти да наблюдават и управляват интернет дейностите в локалните мрежи. Някои от режимите им на работа като „Gateway”, „Bridge”, „Redirect” и „Single” , са приложими към всякакви видове мрежи. Други приложения предлагат съществени методи, които позволяват на администраторите да изискват от потребителите автентикация при свързването им с интернет. Могат да се настроят и филтри, активиращи се за период от време, позволявайки на отделни сегменти от мрежата да имат достъп до интернет пo различно време. Използването на филтри при портовете, спомага управляването и ограничаването на свързването с определени интернет проложения като сайтове за игри, радио, чатове и други. Инструментите за следене на потока от данни предоставят излгед към изходящия трафик в реално време посредством динамична диаграма на потока. Могат да се активират или изключат различни видове филтри като „DNS“, „HTTP“, „SMTP“, „POP3“, „FTP“, „P2P“, „MSN“ и др., ограничаващи и контролиращи всички важни аспекти, свъразани с използването на интернет. Най – общо може да се закючи че, изпoлзването на софтуерни средства превръща контрола и управлението на LAN мрежите в лека и приятна задача. 5 ACL – е виртуален списък на разрешения, прикрепен към обект.
12 Заключение. Добре защитената LAN мрежа осигурява на потребителите безпроблемно споделяне на данни и сигурност при сърфиране в интернет. За да се постигне това е необходимо правилното конфигуриране на устройствата и софтуера в мрежата. Операционната система на маршутизатора и комутатора да е актулана и с най – нови допълнения. Неизползваните протоколи и портове да бъдат спрени. Целият трафик на информация трябва да бъде наблюдаван и котролиран отвътре. Административният достъп до устройствата да е добре защитен със силни пароли и всички интерфейси за управление изключени или ограничени до минимум. Таблиците с историята за влизанията да се съхранява на централно и добре защитетно място, както и да бъдат настроени средства за засичане на опити за намеса от външни източници. Всички филтри трябва да блокират целия трафик без този, който е необходим за нормалното функциониране на мрежата и предварително определен в защитната стена. Всички пароли по подразбиране трябва да бъдат сменени и предаването на информацията криптирано. Допълнителни методи за повишаване на сигурността са часовото време на всички устройства в мрежата да е синхронизирано и виртуалния списък на устройствата с разрешен достъп до мрежата да бъде приложен към рутера или суича. Като цяло мрежовата сигурност означава защитата на устройствата, които са в нейния обхват и защита на информацията, която предават помежду си.
13 Използвана литература. 1. J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla and Anandha Murukan, Microsoft Corporation. Improving Web Application Security: Threats and Countermeasures. Публикувано Юни 2003 г. Извлечено на 14.04.2015. Достъпно на адрес: https://msdn.microsoft.com/en-us/library/ff648651.aspx. 2. BEAL,Vangie. Quinstreet Enterprise. LAN - local-area network. Извлечено на 14.04.2015г. Достъпно на адрес: http://www.webopedia.com/TERM/L/local_area_network_LAN.html. 3. ADMIN, John. Articles, Security: What is Sniffing? Публикувано 2011 г. Извлечено на 15.04.2015 г. Достъпно на адрес: http://www.101hacker.com/2011/04/what-is- sniffing-in-computers.html. 4. Internet Terms. Spoofing. Обновено на 13.11.2007 г. Извлечено на 15.04.2015 г. Достъпно на адрес: http://techterms.com/definition/spoofing. 5. DAN, Marina. Softpedia. Active Wall Web Filter. Последно обновено на 26.11.2013 г. Извлечено на 19.04.2015 г. Достъпно на адрес: http://www.softpedia.com/get/Security/Firewall/Active-Wall-Free-Edition.shtml.

Recommended

Internet Traffic Monitoring and Analysis
Internet Traffic Monitoring and AnalysisInternet Traffic Monitoring and Analysis
Internet Traffic Monitoring and AnalysisInformation Technology
 
5 Cryptography Part1
5 Cryptography Part15 Cryptography Part1
5 Cryptography Part1Alfred Ouyang
 
IPSec VPN tunnel
IPSec VPN tunnelIPSec VPN tunnel
IPSec VPN tunnelArunKumar Subbiah
 
Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Asad Ali
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Steganography
SteganographySteganography
SteganographyNeha Sharma
 
VPN Network
VPN NetworkVPN Network
VPN NetworkWani Zahoor
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure ShellPeter R. Egli
 

Recommended

Internet Traffic Monitoring and Analysis
Internet Traffic Monitoring and AnalysisInternet Traffic Monitoring and Analysis
Internet Traffic Monitoring and AnalysisInformation Technology
 
5 Cryptography Part1
5 Cryptography Part15 Cryptography Part1
5 Cryptography Part1Alfred Ouyang
 
IPSec VPN tunnel
IPSec VPN tunnelIPSec VPN tunnel
IPSec VPN tunnelArunKumar Subbiah
 
Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Asad Ali
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Steganography
SteganographySteganography
SteganographyNeha Sharma
 
VPN Network
VPN NetworkVPN Network
VPN NetworkWani Zahoor
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure ShellPeter R. Egli
 
Vpn
VpnVpn
VpnKajal Thakkar
 
Vpn ppt
Vpn pptVpn ppt
Vpn pptNikhila Pothukuchi
 
Iss lecture 5
Iss lecture 5Iss lecture 5
Iss lecture 5Ali Habeeb
 
Ip security
Ip security Ip security
Ip security Naveen Dubey
 
Virtual Private Network VPN
Virtual Private Network VPNVirtual Private Network VPN
Virtual Private Network VPNFarah M. Altufaili
 
What is SASE
What is SASEWhat is SASE
What is SASEAdi Ruppin
 
Virtual private networks (vpn)
Virtual private networks (vpn)Virtual private networks (vpn)
Virtual private networks (vpn)Avinash Nath
 
STP Protection
STP ProtectionSTP Protection
STP ProtectionNetwax Lab
 
Vpn
VpnVpn
Vpnc_s_halabja
 
Vpn presentation
Vpn presentationVpn presentation
Vpn presentationRam Bharosh Raut
 
AAA & RADIUS Protocols
AAA & RADIUS ProtocolsAAA & RADIUS Protocols
AAA & RADIUS ProtocolsPeter R. Egli
 
Steganography and Its Applications in Security
Steganography and Its Applications in SecuritySteganography and Its Applications in Security
Steganography and Its Applications in SecurityIJMER
 
Chapter 2 point-to-point protocol (ppp)
Chapter 2 point-to-point protocol (ppp)Chapter 2 point-to-point protocol (ppp)
Chapter 2 point-to-point protocol (ppp)Cliff Stephen Pike-Dimagiba
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacyPushkar Dutt
 
Ethernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentationEthernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentationNir Cohen
 
Asymmetric Cryptography
Asymmetric CryptographyAsymmetric Cryptography
Asymmetric CryptographyUTD Computer Security Group
 
MPLS Tutorial
MPLS TutorialMPLS Tutorial
MPLS Tutorialkennedy Ochieng Ndire
 
Diameter Presentation
Diameter PresentationDiameter Presentation
Diameter PresentationBeny Haddad
 
CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)Sam Bowne
 
What is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in itWhat is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in itlavakumar Thatisetti
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”Светла Иванова
 

More Related Content

What's hot

Virtual private networks (vpn)
Virtual private networks (vpn)Virtual private networks (vpn)
Virtual private networks (vpn)Avinash Nath
 
STP Protection
STP ProtectionSTP Protection
STP ProtectionNetwax Lab
 
AAA & RADIUS Protocols
AAA & RADIUS ProtocolsAAA & RADIUS Protocols
AAA & RADIUS ProtocolsPeter R. Egli
 
Steganography and Its Applications in Security
Steganography and Its Applications in SecuritySteganography and Its Applications in Security
Steganography and Its Applications in SecurityIJMER
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacyPushkar Dutt
 
Ethernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentationEthernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentationNir Cohen
 
Diameter Presentation
Diameter PresentationDiameter Presentation
Diameter PresentationBeny Haddad
 
CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)Sam Bowne
 
What is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in itWhat is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in itlavakumar Thatisetti
 

What's hot (20)

Vpn
VpnVpn
Vpn
 
Vpn ppt
Vpn pptVpn ppt
Vpn ppt
 
Iss lecture 5
Iss lecture 5Iss lecture 5
Iss lecture 5
 
Ip security
Ip security Ip security
Ip security
 
Virtual Private Network VPN
Virtual Private Network VPNVirtual Private Network VPN
Virtual Private Network VPN
 
What is SASE
What is SASEWhat is SASE
What is SASE
 
Virtual private networks (vpn)
Virtual private networks (vpn)Virtual private networks (vpn)
Virtual private networks (vpn)
 
STP Protection
STP ProtectionSTP Protection
STP Protection
 
Vpn
VpnVpn
Vpn
 
Vpn presentation
Vpn presentationVpn presentation
Vpn presentation
 
AAA & RADIUS Protocols
AAA & RADIUS ProtocolsAAA & RADIUS Protocols
AAA & RADIUS Protocols
 
Steganography and Its Applications in Security
Steganography and Its Applications in SecuritySteganography and Its Applications in Security
Steganography and Its Applications in Security
 
Chapter 2 point-to-point protocol (ppp)
Chapter 2 point-to-point protocol (ppp)Chapter 2 point-to-point protocol (ppp)
Chapter 2 point-to-point protocol (ppp)
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacy
 
Ethernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentationEthernet vs-mpls-tp-in-the-access-presentation
Ethernet vs-mpls-tp-in-the-access-presentation
 
Asymmetric Cryptography
Asymmetric CryptographyAsymmetric Cryptography
Asymmetric Cryptography
 
MPLS Tutorial
MPLS TutorialMPLS Tutorial
MPLS Tutorial
 
Diameter Presentation
Diameter PresentationDiameter Presentation
Diameter Presentation
 
CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)CISSP Prep: Ch 5. Communication and Network Security (Part 1)
CISSP Prep: Ch 5. Communication and Network Security (Part 1)
 
What is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in itWhat is Cryptography and Types of attacks in it
What is Cryptography and Types of attacks in it
 

Viewers also liked

с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”Светла Иванова
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 
безопасност и защита на Wi fi
безопасност и защита на Wi fiбезопасност и защита на Wi fi
безопасност и защита на Wi fiInes Slavova
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...radopetrov
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарSkillFactory
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
 

Viewers also liked (11)

с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
 
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”
 
IDS
IDSIDS
IDS
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
 
безопасност и защита на Wi fi
безопасност и защита на Wi fiбезопасност и защита на Wi fi
безопасност и защита на Wi fi
 
4684
46844684
4684
 
wifi-security 2
wifi-security 2wifi-security 2
wifi-security 2
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
 
Milena- wifi
Milena- wifiMilena- wifi
Milena- wifi
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинар
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017
 

Similar to Методи и средства за филтриране на трафика в Lan мрежи

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPNEma Angelova
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхUniversity of Economics - Varna
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваRalica Hristova
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защитаmarin georgiev
 
защити на Wi
защити на Wiзащити на Wi
защити на WiIliya Iliev
 
защити на Wi
защити на Wiзащити на Wi
защити на WiIliya Iliev
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиmApTu
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиранеGeorgi Georgiev
 

Similar to Методи и средства за филтриране на трафика в Lan мрежи (20)

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
 
86101
8610186101
86101
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
 
Netsec
NetsecNetsec
Netsec
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
 
VPN Security
VPN SecurityVPN Security
VPN Security
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 
защити на Wi
защити на Wiзащити на Wi
защити на Wi
 
защити на Wi
защити на Wiзащити на Wi
защити на Wi
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиране
 
Web Security Intro
Web Security IntroWeb Security Intro
Web Security Intro
 
DoS атаки
DoS атакиDoS атаки
DoS атаки
 
Презентация - sniffing атаки
Презентация - sniffing атакиПрезентация - sniffing атаки
Презентация - sniffing атаки
 
Tor
TorTor
Tor
 

Методи и средства за филтриране на трафика в Lan мрежи

  • 1. Икономически университет – Варна Катедра – Информатика Реферат Тема: Методи и средства за филтриране на трафика в LAN мрежи по Безопасност и защита на компютърни системи и приложения Разработил: Деян Викторов Чакъров Преподавател: Доц.д-р Стефан Дражев специалност: ИТ иновации в бизнеса Преподавател: ас. Радка Начева СИН №: 400474, Ф. №: 104865
  • 2. Съдържание Увод. ............................................................................................................................................. 1 I. Заплахи и контрамерки......................................................................................................... 2 1. Събиране на информация. ............................................................................................ 3 2. Душене (sniffing)............................................................................................................ 3 3. Измама (spoofing). ......................................................................................................... 4 4. Прихващане на сесия. ................................................................................................... 4 5. Отказ от услуга. ............................................................................................................. 5 II. Методи и средства за защита. .......................................................................................... 5 1. Рутер. .............................................................................................................................. 6 2. Защитна стена (Firewall). .............................................................................................. 9 3. Комутатор (switch)....................................................................................................... 10 4. Допълнителни средства за филтриране..................................................................... 11 Заключение................................................................................................................................. 12 Използвана литература. ............................................................................................................ 13
  • 3. 1 Увод. Целта на настоящата курсова работа е да се направи анализ на потенциалните заплахи и да се пояснят методите и средствата за повишаване на сигурността, без които не би било възможно да се приложи акуратна защита в локалната мрежа. LAN (на английски: Local Area Network, LAN) е вид малка компютърна мрежа, която обслужва компютри и други устройства, като например мрежови принтери или скенери, свързани помежду си. Връзката между устройствата се осъществява посредством Ethernet стандарт чрез кабели или през Wi-Fi въздушно свързване чрез радио сигнали по определени стандарти. Локалните мрежи служат за споделяне и обмен на информация между компютрите. Могат и да се свързват приложения, които са инсталирани на различни компютри в мрежата, например програма, която работи на един компютър, би могла да използва помощни програми от друго устройство. Възможно е и синхронизиране на файлове в цялата мрежа. LAN мрежите се делят на няколко вида. Според организацията или мрежовите протоколи, които използват, мрежите биват с равноправен достъп (peer-to-peer) или тип клиент-сървър. При втория тип един от компютрите има централна роля и се нарича сървър, а останалите се наричат клиенти или работни станции. При мрежите с равноправен достъп всеки компютър работи и като клиент и като сървър. Топологията на мрежата описва геометричната структура на междусистемните връзки между устройства и мрежови сегменти например пръстен или звезда. Мрежите могат да се делят и йерархично на два типа: работна група (Workgroup) и домейн (Domain). При работната група всички работни станции са равнопоставени, докато в домейна структурата е пирамидална. За да се гарантира нормалния обмен на информация между потребителите е необходимо да се прилага определен контрол (филтриране) на потока от данни, спомагащ за облекчаване на трафика в локалната мрежа и повишаване на сигурността. Филтрирането е процес на пропускане или блокиране на пакети от информация в мрежовия интерфейс на базата на адреса на източника и на получателя, на портове или протоколи. Често се използва в комбинация с компресирането на пакети и с Network Address Translation (NAT). Може да бъде и част от защитна стена, предотвратяваща нежелана намеса в локалната мрежа.
  • 4. 2 I. Заплахи и контрамерки. Локалната мрежа е входната точка за приложенията на потребителите. Тя осигурява първоначален контрол чрез правила за достъп до различни сървъри във виртуалната среда. Сървърите са защитени от техни собствени приложения в операционната им система, но е изключително важно да не бъдат атакувани от различни заплахи от мрежово ниво. Не трябва да се позволява и контролните правила да бъдат променяни или подменяни от измамници. Накратко, мрежовата сигурност включва защита на мрежови устройства и данните, които те предават. Основните компоненти на мрежата, които играят роля на предна защита са рутер, защитна стена и суич (Фигура 1). Фигура 1 – Структура на LAN мрежа. Хакерите търсят слабо конфигурирани мрежи, които да експлоатират. Общите уязвимости включват слаба инсталация по подразбиране, широк достъп до контролните функции и недобре свързани устройства. С най – вискок риск са следните заплахи:  събирането на информация;
  • 5. 3  „душене“ (sniffing1) ;  измамама, заблуда (spoofing2);  прихващане на сесия на предаване на информация;  отказ от услуга (denial-of-service – DoS). С познаването на основните заплахи, които могат да заплашат локалната мрежа, могат да се приложат ефективни методи за отблъскването им. 1. Събиране на информация. Събирането на информация може да разкрие детайлно цялата топография на LAN мрежата, конфигурацията на системата и на мрежовите устройства. Хакерите използват този метод, за да насочат атаките си към откритите слабости. Основните недостатъци, които правят мрежата податлива на недобронамерени действия са несигурната природа на TCP/IP протоколите, информация за конфигурацията, предоставена от банери, и открит достъп до услуги, които могат да бъдат блокирани. Най – общо атаките при събирането на информация се състоят от използването на команда Tracert, за да се засече структурата на мрежата, на команда Telnet за отваряне на портове за достъп на банери, сканиране за отворени портове и излъчване на заявки (broadcast requests) за определяне броя на хостовете в мрежата. Тези пропуски в сигурността могат да се избегнат чрез изполването на банери, чиято функционалност не предоставя информация за конфигурацията като версия или име на софтуера. Прилагат се защитни стени, маскиращи услугите, които не бива да бъдат изложени в публичното пространство. 2. Душене (sniffing). Душенето, още наречено подслушване, е акт на наблюдаване на мрежовия трафик за данни, като пароли в явен текст или информация за конфигурацията на мрежата. С прост пакет 1 Sniffing е технология за прихващане на информация чрез следене и четене на информацията от целия трафик на мрежата. 2 Spoofing е заблуждаване или измама на компютърни системи или потребители най – често през имейл.
  • 6. 4 sniffer, целия трафик може да бъде прочетен лесно. Също така леките „хаш“ алгоритми (алгоритми за раздробяване на трафика на пакети) могат да бъдат кракнати и информацията заложена в тях да бъде разшифрована. Слабите места, правещи мрежата податлива на подслушване включват слаба физическа сигурност, липса на криптиране на информацията при изпращането на чувствителни данни и услуги, комуникиращи в прав текст или при слабо криптиране. Хакерите поставят sniffer пакети из локалната мрежа, за да прихванат целия трафик. Противодействия биха били силната физическа защита, предотвратяваща поставянето на външни устройства в мрежата, и закодирани идентификационни данни при предавнето на информацията. 3. Измама (spoofing). Спууфинг, познато още като присвояване на самоличност, е предназначено да скрие истинската идентичност в мрежата. Използва се фалшив източник на адрес, който не представлява актуалния адрес на инициатора на пакета от данни. Може да се използва за прикриване на източника на атака или да влияе на контролните списъци за достъп до мрежата, които ограничават използването на мрежата от хостовете, базирано на адресни правила за вход. Причините, правещи LAN мрежата уязвима на този вид атаки са: несигурния характер на TCP/IP протокола и липсата на пресяване на информацията при входа и изхода на мрежата. Входиращото филтриране (ingress filtering) е проверяването на всеки IP пакет с несигурен адрес на източника преди да постъпи и окаже въздействие в системата. Изходното филтриране (egress filtering) е процес на проверка на изходящия от мрежата трафик. Хакер може да използва различни инструменти, за да модифицира изходящите пакети по такъв начин, че да изглеждат сякаш произлизат от заместваща мрежа или хост. Защитата би се подобрила ако се прилага входящо и изходящо филтриране при рутера на мрежата. 4. Прихващане на сесия. С прихващането на сесия, атакуващият използва приложение, което се маскира или като клиент или като сървър. Това води до заблуждаването и на сървъра и на потребителя, че източника на потока от данни е легитимен хост и мрежата е манипулирана, че именно той е желаната дестинация. Тази атака се използва за придобиването на информация за пароли или
  • 7. 5 конфиденциални данни. Проблем предизвикващ подобни недоброжелателни действия са слабата физическа защита, несигурния TCP/IP протокол и некриптираната комуникация между устройствата в мрежата. Използват се разнообразни средства за заблуждаване, промени в маршрутизацията и манипулиране на потока от данни. За да се избегне прихващането на информацията е необходимо кодиране на сесиите и редовна проверка на състоянието на защитната стена. 5. Отказ от услуга. Атаката отказ от услуга (DoS), представлява отричане на достъпа на легитимни потребители до сървъра или до различни услуги в системата. Обикновено се осъществява чрез наводняване на мрежата с трафик, като по този начин се изразходват голяма част от честотата на предаване и ресурсите на мрежата. Слаби места са присъщата несигурност в на TCP/IP протокола, слабата конфигурация на машрутизатора или комутатора, предаване на некодирани данни или бъгове в софтуера на услугите. Атаките включват използването на каскадно наводняване с пакети от информация, SYN3 атаки и експлоатиране на системата чрез препълване на буфера. Противодействие би било филтриране на излъчваните заявки, филтрирането на интернет контрол на съобщенията протокола (ICMP) и актуализирането на софтуера на услугите. II. Методи и средства за защита. За да се защити дадена система или мрежа е необходимо да се осъзнае как работи тя. Мрежовата инфраструктура би могла да се разбие на няколко нива: достъп, дистрибуция и ядро. Тези елементи съдържат целия необходим хардуер за контрол на достъпа от и към външни и вътрешни ресурси. Основните компоненти на мрежата са:  маршрутизатор (router) – най външната защита, отговорна за рзпределянато на IP пакетите в мрежите, за които е свързан. Използва се за блокирането на нежелан и 3 SYN attacks – последователност от SYN заявки до определена система, за да се заемат достатъчно ресурси и по този начин системата да стане неизползваема за легитимните хостове.
  • 8. 6 неоторизиран трафик между мрежите. Той също би следвало да е защитен срещу реконфигуриране с актуален административен софтуер;  защитна стена (firewall) – ролята на защитната стена е да блокира неизползваните портове и да позволява трафик само от познатите такива. Тя трябва да наблюдава пристигащите заявки за предотвратяване на атаки към сървъра;  комутатор (switch) – с минимална раля в сигурната мрежова среда. Предназначен е за подобряване на мрежовата производителност и улесняване на администрирането. Поради тази причина той може да бъде лесно конфигуриран чрез изпращането на специални форматирани пакети към него. 1. Рутер. Рутера осигурява маршрутизирането на пакетите от данни и може да блокира или филтрира разпространението на такива пакети, за които се знае, че са уязвими или могат да бъдат използвани злонамерено, като ICMP или SNMP (Simple Network Management Protocol) протоколите. Ако на този етап липсва контрол, то последващата защита би била неефективна. Основните конфигурационни категории на маршрутизатора са пачове и ъпдейти, протоколи, администриране на достъпа, мрежови услуги, контрол на входа на мрежата и засичане на прониквания в нея. Допълването на софтуера и неговото редовно актуализиране (patches and updates), което се осигурява от производителя на мрежовия хардуер, спомага за познаването на актуланите пропуски в защитата и софтуерните услуги и своевременното реагиране на заплахите. Атаките от типа октаз от услуга често се възползват от слабостите на ниво протоколи. За ефективни контрамерки е необходимо използването на филтриране на входа и на изхода на мрежата и наблюдаване на ICMP трафика от интернет пространството. Входящи заявки с вътрешен мрежови адрес, са ясна индикация за опит за проникване или проучване, и би следвало да им се отказва достъп до обхвата на LAN мрежата. Настройването на рутера да маршрутизира изходящи пакети само ако те имат валиден мрежови адрес, не предпазва от външни атаки, но поне предотвратява тяхното възникване във вътрешната мрежова среда. ICMP е протокол, който стои на върха на мрежовия адрес и позволява достъпната информация между два хоста да бъде проверена. Най – често използваните ICMP съобщения са показани в Таблица 1.
  • 9. 7 Таблица 1 Основно използвани ICMP съобщения Съобщения Описание Echo request Определя дали хост или рутер е достъпен в мрежата Echo reply Отговаря на ICMP echo request Destination unreachable Информира хост че, данните не могат да бъдат доставени Source quench Информира хоста да намали скоростта на предаване на данните поради задръстване на трафика Redirect Информира хоста за предпочитания маршрут Time exceeded Изтичане на времето на сесията Блокирането на ICMP протокола от въшния периметър на рутера, защитава от наводняване на трафика в мрежата. Поради тази причина е важно да се контролира и да се използва само в Echo request състояние. Директния трафик може да спомогне за разкриване на цялата структура на мрежата и за атаки от типа отказ от услуга. Например с блокирането на определни мрежови адреси може да се предотврати злонамерени „ехо заявки“ да блокират честотата на мрежата. Такива адреси са показани в Таблица 2. Таблица 2 Адреси за блокиране Адреси Описание 0.0.0.0/8 Исторически първия адрес за излъчване на заявки 10.0.0.0/8 Адрес, запазен за подмрежовата маска 127.0.0.0/8 Адрес за тестване на способността за излъчване на заявки
  • 10. 8 169.254.0.0/16 Адрес за свързване на локални мрежи 172.16.0.0/12 Запазен от IETF4 за частна мрежа 192.0.2.0/24 Адрес използван за специални цели IETF 192.168.0.0/16 Използван за комуникация в частна мрежа 224.0.0.0/4 Запазен за множество зададния 240.0.0.0/5 Запазен за бъдещо ползване 248.0.0.0/5 Неразпределен адрес 255.255.255.255/32 Адрес, запазен за излъчване на заявки в цялата мрежа За допълнителна защита трябва да се зададе на рутера точно от кой хост и коя мрежа ще се извършва административния достъп и да се ограничат всички други възможности за вход към устройството. Нужно е да се остави активен само интерфейса, който е необходим, да се въведат сложни кодове за достъп, да се използва статично маршрутизиране и да се прави строга проверка на уеб приложенията за администриране (външен интерфейс) и ако е възможно да се остави активен само софтуера за администриране от вътрешни източници. Всеки отворен порт на рутера се асоциира с услуга за приемане на заявки (listening service). За да се редуцира обхата на дадена атака, е необходимо всички ненужни портове да бъдат изключени. Например услугите bootps и Finger, които са рядко използвани. Маршрутизатора може да бъде сканиран, за да се проверят кои портове са отворени. По подразбиране всички логове (свързвания) към рутера не извършват някакви действия. Трябва да се осигури централно място на съхранение на лог файловете. Съвременните маршутизатори имат набор от функции за регистриране, което включва възможността да се зададе предимство на логванията в зависимост от преходни данни за свързванията. Следва да се 4 IETF - основните органи в областта на техническите разработки и определянето на стандарти за Интернет.
  • 11. 9 зададе и график за рутинна проверка на лог файловете за признаци на проникване или сондиране на мрежата. С правилно зададени ограничения в рутера за предотвратяване на TCP/IP атаки, той би могъл да засече кога се извършва недоброжелателна намеса в системата и да уведоми системния администратор на устройството. Поради факта, че хакерите научават устройството на LAN системата, те могат да заобиколят наложените ограничения за достъп в нея, а системите за засичне на намеса (Intrusion Detection Systems – IDSs) помагат да се определи къде точно ще бъде извършена атаката. 2. Защитна стена (Firewall). Наложително е всеки път когато се оперира в среда на непозната мрежа да бъде приложена защитна стена. След рутера с неговите средства за филтриране на трафика, защитна стена е следващата цел за атака. В повечето случаи хостовете нямат достъп до маршрутизатора, но много от неговите филтри могат да се приложат и при защитната стена. Категориите за конфигуриане на Firewall включват допълване на софтуера и неговото обновяване, филтриране, контрол и наблюдения на свързванията, периметър на мрежите и засичане на непозволени намеси в системата. Обновяванията на софтуера спомагат за информираност за най – новите видове атаки и по този начин защитата би била по – ефективна. Филтрирането на отворени портове на защитната стена е ефективен начин за блокиране на злонамерени пакети в трафика на мрежата. Обхвата на филтритте варира от филтриране на прости пакети от данни, които ограничават трафика, до сложни филтри на апликациите, които проверяват натоварването, предизикано от конкретни приложения. Използването на слоесто филтриране е много ефективен начин за блокиране на атаки. Съществуват няколко типа филтри на защитната стена: пакетни филтри (packet filters) – базирани на протоколи, на адреса на изпращача и получателя или на име на компютър; филтри на верижно ниво (circuit-level filters) – инспектират повече сесиите вместо пренасяния пакет от данни; филтри на приложенията (application filters) – анализиране на потока от данни, произлизащ от приложения и осигуряване на определено обработване на информацията; зададени филтри (stateful inspection) – преглед на
  • 12. 10 състоянието на мрежовите връзки и сесии и тяхната цялост, при пътуването им из LAN средата; филтри за специални приложения (custom application filters) – осигуряват целостта на комуникацията на приложенията от типа клиент-сървър. Трябва да се приложат следните политики за свързванията (logging): да се следи целия трафик, поддържане на логова ротация за по – бърз анализ на данните и синхронизация на часа с другите устройства в мрежата. Така би било възможно да се засекат опити за външни намеси в мрежата или в по – лошия случай, да се установят вече извършени такива. Периметъра от мрежи представлява определяне на вида мрежи, с които оперират хостовете. Например ако интернет сървърите се свързват с крайна мрежа като хранилища на база данни или корпоративна мрежа, то между двете трябва да има екран, който да ги изолира. Предимства са че, работните станции и сървъри не са директно изложени на ненадежни мрежи, отворените посртове и услуги са единствените входове за атаки, при достъпа се прилагат правилата за сигурност. Слабостите са висока сложност на мрежата, разпределяне и управление на IP адресите, изисквания към приложенията да съвпадат с дизайна на зададените мрежи. 3. Комутатор (switch). Комутатора отговаря за разпределението на пакетите от данни директно към хост или сегмент от мрежата. Трафикът не се споделя между мрежи, свързани със суич. Това е превантивна мярка срещу подслушване на пакетите между мрежите. Един хакер може да заобиколи лесно тази защита чрез реконфигуриране на правилата заложени в комутатора, използвайки лесно достъпни административни интерфейси или познаване на паролите и имената на потребителите и използването на прост протокол за управление на съобщенията (Simple Network Management Protocol – SNMP). Категориите за прилагане на защита са актуализиаране на софтуера, виртуални мрежи (Virtual Local Area Networks – VLANs), промяна на заложените по подразбиране правила за достъп, мрежови услуги и криптиране на данните. Обновяването на софтуера е наложително за осъвременяване информацията за съществуващите към момента заплахи. Виртуалните мрежи се използват за сегментиране на мрежите и прилагане на правила за достъп към тях. Промяната на правилата за достъп означава промяна на всички пароли и протоколи на ниво SNMP, заложени по подразбиране. Изклюване
  • 13. 11 на всички неизползвани усуги – Trivial File Transfer Protocol (TFTP) е спрян, админстративните точки на достъп, базирани на интернет, премахнати и приложен към комутатора списък на разрешения за достъп (ACLs5). Въпреки че, криптирането не се изпълнява традиционно при комутатора, то неговото прилагане спомага да се създаде допълнително звено за защита при свързаните с него мрежи. 4. Допълнителни средства за филтриране. Съществуват и различни софтуерни средства за филтриране на трафика и контрол на достъпа до LAN мрежи. Представляват сложни приложения, предоставящи на мрежовите инженери или администратори, подходящи инструменти да наблюдават и управляват интернет дейностите в локалните мрежи. Някои от режимите им на работа като „Gateway”, „Bridge”, „Redirect” и „Single” , са приложими към всякакви видове мрежи. Други приложения предлагат съществени методи, които позволяват на администраторите да изискват от потребителите автентикация при свързването им с интернет. Могат да се настроят и филтри, активиращи се за период от време, позволявайки на отделни сегменти от мрежата да имат достъп до интернет пo различно време. Използването на филтри при портовете, спомага управляването и ограничаването на свързването с определени интернет проложения като сайтове за игри, радио, чатове и други. Инструментите за следене на потока от данни предоставят излгед към изходящия трафик в реално време посредством динамична диаграма на потока. Могат да се активират или изключат различни видове филтри като „DNS“, „HTTP“, „SMTP“, „POP3“, „FTP“, „P2P“, „MSN“ и др., ограничаващи и контролиращи всички важни аспекти, свъразани с използването на интернет. Най – общо може да се закючи че, изпoлзването на софтуерни средства превръща контрола и управлението на LAN мрежите в лека и приятна задача. 5 ACL – е виртуален списък на разрешения, прикрепен към обект.
  • 14. 12 Заключение. Добре защитената LAN мрежа осигурява на потребителите безпроблемно споделяне на данни и сигурност при сърфиране в интернет. За да се постигне това е необходимо правилното конфигуриране на устройствата и софтуера в мрежата. Операционната система на маршутизатора и комутатора да е актулана и с най – нови допълнения. Неизползваните протоколи и портове да бъдат спрени. Целият трафик на информация трябва да бъде наблюдаван и котролиран отвътре. Административният достъп до устройствата да е добре защитен със силни пароли и всички интерфейси за управление изключени или ограничени до минимум. Таблиците с историята за влизанията да се съхранява на централно и добре защитетно място, както и да бъдат настроени средства за засичане на опити за намеса от външни източници. Всички филтри трябва да блокират целия трафик без този, който е необходим за нормалното функциониране на мрежата и предварително определен в защитната стена. Всички пароли по подразбиране трябва да бъдат сменени и предаването на информацията криптирано. Допълнителни методи за повишаване на сигурността са часовото време на всички устройства в мрежата да е синхронизирано и виртуалния списък на устройствата с разрешен достъп до мрежата да бъде приложен към рутера или суича. Като цяло мрежовата сигурност означава защитата на устройствата, които са в нейния обхват и защита на информацията, която предават помежду си.
  • 15. 13 Използвана литература. 1. J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla and Anandha Murukan, Microsoft Corporation. Improving Web Application Security: Threats and Countermeasures. Публикувано Юни 2003 г. Извлечено на 14.04.2015. Достъпно на адрес: https://msdn.microsoft.com/en-us/library/ff648651.aspx. 2. BEAL,Vangie. Quinstreet Enterprise. LAN - local-area network. Извлечено на 14.04.2015г. Достъпно на адрес: http://www.webopedia.com/TERM/L/local_area_network_LAN.html. 3. ADMIN, John. Articles, Security: What is Sniffing? Публикувано 2011 г. Извлечено на 15.04.2015 г. Достъпно на адрес: http://www.101hacker.com/2011/04/what-is- sniffing-in-computers.html. 4. Internet Terms. Spoofing. Обновено на 13.11.2007 г. Извлечено на 15.04.2015 г. Достъпно на адрес: http://techterms.com/definition/spoofing. 5. DAN, Marina. Softpedia. Active Wall Web Filter. Последно обновено на 26.11.2013 г. Извлечено на 19.04.2015 г. Достъпно на адрес: http://www.softpedia.com/get/Security/Firewall/Active-Wall-Free-Edition.shtml.