Tunneling is a protocol that allows for the secure movement of data from one network to another
Tunneling involves allowing private network communications to be sent across a public network, such as the Internet
In tunneling, the data are broken into smaller pieces called packets as they move along the tunnel for transport
As the packets move through the tunnel, they are encrypted and another process called encapsulation occurs
Симетрични и асиметрични алгоритми за криптиране на информацияKaloyan Kosev
1. Причини за криптирането на информация
2. Криптографията като наука
3. Криптиране и декриптиране на информация
4. Криптиране със симетричен ключ
5. Криптиране с асиметричен (публичен) ключ
6. Използвани източници
In this presentation, you will see what is Ethical Hacking, the purpose of Ethical Hacking, who is an Ethical Hacker, and the various Ethical Hacking certifications. With the rise in the number of cybercrimes, it is necessary for companies to hire Ethical Hackers to protect their networks and data. Here you will have a look at the five different Ethical Hacking certifications, namely Certified Ethical Hacker (CEH), Global Information Assurance Certification Penetration Tester (GPEN), Offensive Security Certified Professional (OSCP), CompTIA Pentest+ and Licensed Penetration Tester(LPT). We will talk about each of these certifications individually and have a look at their description, requirements to take up the certification, the exam fees, the exam duration, and finally, the average annual salary of a candidate with these certifications.
Below topics are explained in this Ethical Hacking certifications presentation:
1. What is Ethical Hacking?
2. Purpose of Ethical Hacking
3. Who is an Ethical Hacker?
4. Ethical Hacking certifications
5. CEH (Certified Ethical Hacker)
6. Global information assurance certification penetration tester (GPEN)
7. Offensive security certified professional (OSCP)
8. CompTia PenTest+
9. Licensed penetration tester (LPT)
This Certified Ethical Hacker-Version 10 (earlier CEHv9) course will train you on the advanced step-by-step methodologies that hackers actually use, such as writing virus codes and reverse engineering, so you can better protect corporate infrastructure from data breaches. This ethical hacking course will help you master advanced network packet analysis and advanced system penetration testing techniques to build your network security skill-set and beat hackers at their own game.
Why is the CEH certification so desirable?
The EC-Council Certified Ethical Hacker course verifies your advanced security skill-sets to thrive in the worldwide information security domain. Many IT departments have made CEH certification a compulsory qualification for security-related posts, making it a go-to certification for security professionals. CEH-certified professionals typically earn 44 percent higher salaries than their non-certified peers. The ethical hacking certification course opens up numerous career advancement opportunities, preparing you for a role as a computer network defence (CND) analyst, CND infrastructure support, CND incident responder, CND auditor, forensic analyst, intrusion analyst, security manager, and other related high-profile roles.
Learn more at https://www.simplilearn.com/cyber-security/ceh-certification
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
Tunneling is a protocol that allows for the secure movement of data from one network to another
Tunneling involves allowing private network communications to be sent across a public network, such as the Internet
In tunneling, the data are broken into smaller pieces called packets as they move along the tunnel for transport
As the packets move through the tunnel, they are encrypted and another process called encapsulation occurs
Симетрични и асиметрични алгоритми за криптиране на информацияKaloyan Kosev
1. Причини за криптирането на информация
2. Криптографията като наука
3. Криптиране и декриптиране на информация
4. Криптиране със симетричен ключ
5. Криптиране с асиметричен (публичен) ключ
6. Използвани източници
In this presentation, you will see what is Ethical Hacking, the purpose of Ethical Hacking, who is an Ethical Hacker, and the various Ethical Hacking certifications. With the rise in the number of cybercrimes, it is necessary for companies to hire Ethical Hackers to protect their networks and data. Here you will have a look at the five different Ethical Hacking certifications, namely Certified Ethical Hacker (CEH), Global Information Assurance Certification Penetration Tester (GPEN), Offensive Security Certified Professional (OSCP), CompTIA Pentest+ and Licensed Penetration Tester(LPT). We will talk about each of these certifications individually and have a look at their description, requirements to take up the certification, the exam fees, the exam duration, and finally, the average annual salary of a candidate with these certifications.
Below topics are explained in this Ethical Hacking certifications presentation:
1. What is Ethical Hacking?
2. Purpose of Ethical Hacking
3. Who is an Ethical Hacker?
4. Ethical Hacking certifications
5. CEH (Certified Ethical Hacker)
6. Global information assurance certification penetration tester (GPEN)
7. Offensive security certified professional (OSCP)
8. CompTia PenTest+
9. Licensed penetration tester (LPT)
This Certified Ethical Hacker-Version 10 (earlier CEHv9) course will train you on the advanced step-by-step methodologies that hackers actually use, such as writing virus codes and reverse engineering, so you can better protect corporate infrastructure from data breaches. This ethical hacking course will help you master advanced network packet analysis and advanced system penetration testing techniques to build your network security skill-set and beat hackers at their own game.
Why is the CEH certification so desirable?
The EC-Council Certified Ethical Hacker course verifies your advanced security skill-sets to thrive in the worldwide information security domain. Many IT departments have made CEH certification a compulsory qualification for security-related posts, making it a go-to certification for security professionals. CEH-certified professionals typically earn 44 percent higher salaries than their non-certified peers. The ethical hacking certification course opens up numerous career advancement opportunities, preparing you for a role as a computer network defence (CND) analyst, CND infrastructure support, CND incident responder, CND auditor, forensic analyst, intrusion analyst, security manager, and other related high-profile roles.
Learn more at https://www.simplilearn.com/cyber-security/ceh-certification
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
A 1-day short course developed for visiting guests from Tecsup on network forensics, prepared in a day : ]
The requirements/constraints were 5-7 hours of content and that the target audience had very little forensic or networking knowledge. [For that reason, flow analysis was not included as an exercise, discussion of network monitoring solutions was limited, and the focus was on end-node forensics, not networking devices/appliances themselves]
IoT stands for Internet of Things.The internet of things, or IoT, is a system of interrelated computing devices, mechanical and digital machines, objects, animals or people that are provided with unique identifiers (UIDs) and the ability to transfer data over a network without requiring human-to-human or human-to-computer interaction.
IoT Security Training covers The Internet of Things security and examines IoT conventions, potential dangers, vulnerabilities, misuse, information breaks, security system and alleviation. IoT security training, Internet of Things (IoT) devices Include: manufacturers, retailers in customer hardware, social insurance, processing plant production network stockrooms, transportation offices and numerous others.
Learn about:
IoT Principles: The Internet of Things Overview
Principles for Connected Devices
IoT Design Principles
Principles of IoT Security
IoT Attack Areas
IoT Vulnerabilities
IoT Firmware Analysis
IoT Software Weaknesses
IoT Security Verification, Validation and Testing
IoT Security Assessment on IoT devices
Assessing IoT devices attack surfaces
Evaluation of IoT device firmware analysis, attack surface
Vulnerabilities and exploiting the vulnerabilities
Course Topics Include:
Overview and analysis of IoT devices and IoT implementation use cases
IoT Architecture
IoT Architectural and Design Requirements
IoT Security Fundamentals
IoT Security Standards
NIST Framework: Cyber Physical Systems
IoT Governance and Risk Management
IoT Security Compliance and Audit
IoT Encryption and Key Management
IoT Identity and Access Management IoT Security Challenges
IoT Security in Critical Infrastructure
IoT Security in Personal infrastructure
IoT Vulnerabilities
Wireless Security applied to IoT
ZigBee and Bluetooth Security
LTE and Mobile Security
Cloud-based web interface security
Call us today at +1-972-665-9786. Learn more about this course audience, objectives, outlines, seminars, pricing , any other information. Visit our website link below.
IoT SecurityTraining, IoT Security Awareness 2019
https://www.tonex.com/training-courses/iot-security-training-iot-security-awareness/
DHCP was created by the Dynamic Host Configuration Working Group of the Internet Engineering Task Force. It is a method for assigning Internet Protocol (IP) addresses permanently or to individual computers in an organization’s network.
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”Светла Иванова
Национална стратегия за кибер сигурност изразява колективния ангажимент и отговорност на всички заинтересовани страни и волята на ръководството на Република България да осигури модерна рамка и стабилна среда за развитие на националната система за кибер сигурност и постигане на отворено, безопасно и сигурно киберпространство. Визията за постигане на „Кибер устойчива България 2020“ очертава етапите на развитие за израстване от базова информационна сигурност и кибер хигиена до зряло информационно общество, способно да устои на кибер и хибридни заплахи във всички сфери. Република България ще бъде надежден и устойчив партньор и участник в общите мрежи и системи и колективната сигурност с евро-атлантическите ни партньори, с иновативно и изпреварващо технологично развитие, съответно на приоритетите за развитие на икономиката и обществото, и с капацитет и способности да участва в предотвратяването и преодоляването на еволюиращите кибер заплахи и кризи.
A 1-day short course developed for visiting guests from Tecsup on network forensics, prepared in a day : ]
The requirements/constraints were 5-7 hours of content and that the target audience had very little forensic or networking knowledge. [For that reason, flow analysis was not included as an exercise, discussion of network monitoring solutions was limited, and the focus was on end-node forensics, not networking devices/appliances themselves]
IoT stands for Internet of Things.The internet of things, or IoT, is a system of interrelated computing devices, mechanical and digital machines, objects, animals or people that are provided with unique identifiers (UIDs) and the ability to transfer data over a network without requiring human-to-human or human-to-computer interaction.
IoT Security Training covers The Internet of Things security and examines IoT conventions, potential dangers, vulnerabilities, misuse, information breaks, security system and alleviation. IoT security training, Internet of Things (IoT) devices Include: manufacturers, retailers in customer hardware, social insurance, processing plant production network stockrooms, transportation offices and numerous others.
Learn about:
IoT Principles: The Internet of Things Overview
Principles for Connected Devices
IoT Design Principles
Principles of IoT Security
IoT Attack Areas
IoT Vulnerabilities
IoT Firmware Analysis
IoT Software Weaknesses
IoT Security Verification, Validation and Testing
IoT Security Assessment on IoT devices
Assessing IoT devices attack surfaces
Evaluation of IoT device firmware analysis, attack surface
Vulnerabilities and exploiting the vulnerabilities
Course Topics Include:
Overview and analysis of IoT devices and IoT implementation use cases
IoT Architecture
IoT Architectural and Design Requirements
IoT Security Fundamentals
IoT Security Standards
NIST Framework: Cyber Physical Systems
IoT Governance and Risk Management
IoT Security Compliance and Audit
IoT Encryption and Key Management
IoT Identity and Access Management IoT Security Challenges
IoT Security in Critical Infrastructure
IoT Security in Personal infrastructure
IoT Vulnerabilities
Wireless Security applied to IoT
ZigBee and Bluetooth Security
LTE and Mobile Security
Cloud-based web interface security
Call us today at +1-972-665-9786. Learn more about this course audience, objectives, outlines, seminars, pricing , any other information. Visit our website link below.
IoT SecurityTraining, IoT Security Awareness 2019
https://www.tonex.com/training-courses/iot-security-training-iot-security-awareness/
DHCP was created by the Dynamic Host Configuration Working Group of the Internet Engineering Task Force. It is a method for assigning Internet Protocol (IP) addresses permanently or to individual computers in an organization’s network.
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕРСИГУРНОСТ „КИБЕР УСТОЙЧИВА БЪЛГАРИЯ 2020”Светла Иванова
Национална стратегия за кибер сигурност изразява колективния ангажимент и отговорност на всички заинтересовани страни и волята на ръководството на Република България да осигури модерна рамка и стабилна среда за развитие на националната система за кибер сигурност и постигане на отворено, безопасно и сигурно киберпространство. Визията за постигане на „Кибер устойчива България 2020“ очертава етапите на развитие за израстване от базова информационна сигурност и кибер хигиена до зряло информационно общество, способно да устои на кибер и хибридни заплахи във всички сфери. Република България ще бъде надежден и устойчив партньор и участник в общите мрежи и системи и колективната сигурност с евро-атлантическите ни партньори, с иновативно и изпреварващо технологично развитие, съответно на приоритетите за развитие на икономиката и обществото, и с капацитет и способности да участва в предотвратяването и преодоляването на еволюиращите кибер заплахи и кризи.
Wi-Fi для чайников: основы технологии за 1 вебинарSkillFactory
Технический эксперт в области беспроводных технологий Вадим Еремеев -- об особенностях Wi-Fi стандарта и о базовых принципах грамотной конфигурации оборудования для предоставления точек доступа.
Запись вебинара на Youtube: https://www.youtube.com/watch?v=H7P6llvjJiY&hd=1
Материалы вебинара доступны по ссылке: https://docs.google.com/a/skillfactory.ru/file/d/0B8ZnWs7lv8t-RDFmLUVEOGpfV2M/view
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
Thinking about your sales team's goals for 2017? Drift's VP of Sales shares 3 things you can do to improve conversion rates and drive more revenue.
Read the full story on the Drift blog here: http://blog.drift.com/sales-team-tips
Методи и средства за филтриране на трафика в Lan мрежи
1. Икономически университет – Варна
Катедра – Информатика
Реферат
Тема: Методи и средства за филтриране на трафика в LAN мрежи
по
Безопасност и защита на компютърни системи и приложения
Разработил: Деян Викторов Чакъров Преподавател: Доц.д-р Стефан Дражев
специалност: ИТ иновации в бизнеса Преподавател: ас. Радка Начева
СИН №: 400474, Ф. №: 104865
2. Съдържание
Увод. ............................................................................................................................................. 1
I. Заплахи и контрамерки......................................................................................................... 2
1. Събиране на информация. ............................................................................................ 3
2. Душене (sniffing)............................................................................................................ 3
3. Измама (spoofing). ......................................................................................................... 4
4. Прихващане на сесия. ................................................................................................... 4
5. Отказ от услуга. ............................................................................................................. 5
II. Методи и средства за защита. .......................................................................................... 5
1. Рутер. .............................................................................................................................. 6
2. Защитна стена (Firewall). .............................................................................................. 9
3. Комутатор (switch)....................................................................................................... 10
4. Допълнителни средства за филтриране..................................................................... 11
Заключение................................................................................................................................. 12
Използвана литература. ............................................................................................................ 13
3. 1
Увод.
Целта на настоящата курсова работа е да се направи анализ на потенциалните заплахи и
да се пояснят методите и средствата за повишаване на сигурността, без които не би било
възможно да се приложи акуратна защита в локалната мрежа. LAN (на английски: Local Area
Network, LAN) е вид малка компютърна мрежа, която обслужва компютри и други устройства,
като например мрежови принтери или скенери, свързани помежду си. Връзката между
устройствата се осъществява посредством Ethernet стандарт чрез кабели или през Wi-Fi
въздушно свързване чрез радио сигнали по определени стандарти. Локалните мрежи служат за
споделяне и обмен на информация между компютрите. Могат и да се свързват приложения,
които са инсталирани на различни компютри в мрежата, например програма, която работи на
един компютър, би могла да използва помощни програми от друго устройство. Възможно е и
синхронизиране на файлове в цялата мрежа. LAN мрежите се делят на няколко вида. Според
организацията или мрежовите протоколи, които използват, мрежите биват с равноправен достъп
(peer-to-peer) или тип клиент-сървър. При втория тип един от компютрите има централна роля и
се нарича сървър, а останалите се наричат клиенти или работни станции. При мрежите с
равноправен достъп всеки компютър работи и като клиент и като сървър. Топологията на
мрежата описва геометричната структура на междусистемните връзки между устройства и
мрежови сегменти например пръстен или звезда. Мрежите могат да се делят и йерархично на
два типа: работна група (Workgroup) и домейн (Domain). При работната група всички работни
станции са равнопоставени, докато в домейна структурата е пирамидална. За да се гарантира
нормалния обмен на информация между потребителите е необходимо да се прилага определен
контрол (филтриране) на потока от данни, спомагащ за облекчаване на трафика в локалната
мрежа и повишаване на сигурността. Филтрирането е процес на пропускане или блокиране на
пакети от информация в мрежовия интерфейс на базата на адреса на източника и на получателя,
на портове или протоколи. Често се използва в комбинация с компресирането на пакети и с
Network Address Translation (NAT). Може да бъде и част от защитна стена, предотвратяваща
нежелана намеса в локалната мрежа.
4. 2
I. Заплахи и контрамерки.
Локалната мрежа е входната точка за приложенията на потребителите. Тя осигурява
първоначален контрол чрез правила за достъп до различни сървъри във виртуалната среда.
Сървърите са защитени от техни собствени приложения в операционната им система, но е
изключително важно да не бъдат атакувани от различни заплахи от мрежово ниво. Не трябва да
се позволява и контролните правила да бъдат променяни или подменяни от измамници.
Накратко, мрежовата сигурност включва защита на мрежови устройства и данните, които те
предават.
Основните компоненти на мрежата, които играят роля на предна защита са рутер,
защитна стена и суич (Фигура 1).
Фигура 1 – Структура на LAN мрежа.
Хакерите търсят слабо конфигурирани мрежи, които да експлоатират. Общите
уязвимости включват слаба инсталация по подразбиране, широк достъп до контролните
функции и недобре свързани устройства. С най – вискок риск са следните заплахи:
събирането на информация;
5. 3
„душене“ (sniffing1) ;
измамама, заблуда (spoofing2);
прихващане на сесия на предаване на информация;
отказ от услуга (denial-of-service – DoS).
С познаването на основните заплахи, които могат да заплашат локалната мрежа, могат да
се приложат ефективни методи за отблъскването им.
1. Събиране на информация.
Събирането на информация може да разкрие детайлно цялата топография на LAN
мрежата, конфигурацията на системата и на мрежовите устройства. Хакерите използват този
метод, за да насочат атаките си към откритите слабости. Основните недостатъци, които правят
мрежата податлива на недобронамерени действия са несигурната природа на TCP/IP
протоколите, информация за конфигурацията, предоставена от банери, и открит достъп до
услуги, които могат да бъдат блокирани. Най – общо атаките при събирането на информация се
състоят от използването на команда Tracert, за да се засече структурата на мрежата, на команда
Telnet за отваряне на портове за достъп на банери, сканиране за отворени портове и излъчване
на заявки (broadcast requests) за определяне броя на хостовете в мрежата. Тези пропуски в
сигурността могат да се избегнат чрез изполването на банери, чиято функционалност не
предоставя информация за конфигурацията като версия или име на софтуера. Прилагат се
защитни стени, маскиращи услугите, които не бива да бъдат изложени в публичното
пространство.
2. Душене (sniffing).
Душенето, още наречено подслушване, е акт на наблюдаване на мрежовия трафик за
данни, като пароли в явен текст или информация за конфигурацията на мрежата. С прост пакет
1 Sniffing е технология за прихващане на информация чрез следене и четене на информацията от целия
трафик на мрежата.
2 Spoofing е заблуждаване или измама на компютърни системи или потребители най – често през имейл.
6. 4
sniffer, целия трафик може да бъде прочетен лесно. Също така леките „хаш“ алгоритми
(алгоритми за раздробяване на трафика на пакети) могат да бъдат кракнати и информацията
заложена в тях да бъде разшифрована. Слабите места, правещи мрежата податлива на
подслушване включват слаба физическа сигурност, липса на криптиране на информацията при
изпращането на чувствителни данни и услуги, комуникиращи в прав текст или при слабо
криптиране. Хакерите поставят sniffer пакети из локалната мрежа, за да прихванат целия
трафик. Противодействия биха били силната физическа защита, предотвратяваща поставянето
на външни устройства в мрежата, и закодирани идентификационни данни при предавнето на
информацията.
3. Измама (spoofing).
Спууфинг, познато още като присвояване на самоличност, е предназначено да скрие
истинската идентичност в мрежата. Използва се фалшив източник на адрес, който не
представлява актуалния адрес на инициатора на пакета от данни. Може да се използва за
прикриване на източника на атака или да влияе на контролните списъци за достъп до мрежата,
които ограничават използването на мрежата от хостовете, базирано на адресни правила за вход.
Причините, правещи LAN мрежата уязвима на този вид атаки са: несигурния характер на TCP/IP
протокола и липсата на пресяване на информацията при входа и изхода на мрежата.
Входиращото филтриране (ingress filtering) е проверяването на всеки IP пакет с несигурен адрес
на източника преди да постъпи и окаже въздействие в системата. Изходното филтриране (egress
filtering) е процес на проверка на изходящия от мрежата трафик. Хакер може да използва
различни инструменти, за да модифицира изходящите пакети по такъв начин, че да изглеждат
сякаш произлизат от заместваща мрежа или хост. Защитата би се подобрила ако се прилага
входящо и изходящо филтриране при рутера на мрежата.
4. Прихващане на сесия.
С прихващането на сесия, атакуващият използва приложение, което се маскира или като
клиент или като сървър. Това води до заблуждаването и на сървъра и на потребителя, че
източника на потока от данни е легитимен хост и мрежата е манипулирана, че именно той е
желаната дестинация. Тази атака се използва за придобиването на информация за пароли или
7. 5
конфиденциални данни. Проблем предизвикващ подобни недоброжелателни действия са
слабата физическа защита, несигурния TCP/IP протокол и некриптираната комуникация между
устройствата в мрежата. Използват се разнообразни средства за заблуждаване, промени в
маршрутизацията и манипулиране на потока от данни. За да се избегне прихващането на
информацията е необходимо кодиране на сесиите и редовна проверка на състоянието на
защитната стена.
5. Отказ от услуга.
Атаката отказ от услуга (DoS), представлява отричане на достъпа на легитимни
потребители до сървъра или до различни услуги в системата. Обикновено се осъществява чрез
наводняване на мрежата с трафик, като по този начин се изразходват голяма част от честотата на
предаване и ресурсите на мрежата. Слаби места са присъщата несигурност в на TCP/IP
протокола, слабата конфигурация на машрутизатора или комутатора, предаване на некодирани
данни или бъгове в софтуера на услугите. Атаките включват използването на каскадно
наводняване с пакети от информация, SYN3 атаки и експлоатиране на системата чрез
препълване на буфера. Противодействие би било филтриране на излъчваните заявки,
филтрирането на интернет контрол на съобщенията протокола (ICMP) и актуализирането на
софтуера на услугите.
II. Методи и средства за защита.
За да се защити дадена система или мрежа е необходимо да се осъзнае как работи тя.
Мрежовата инфраструктура би могла да се разбие на няколко нива: достъп, дистрибуция и ядро.
Тези елементи съдържат целия необходим хардуер за контрол на достъпа от и към външни и
вътрешни ресурси. Основните компоненти на мрежата са:
маршрутизатор (router) – най външната защита, отговорна за рзпределянато на IP
пакетите в мрежите, за които е свързан. Използва се за блокирането на нежелан и
3 SYN attacks – последователност от SYN заявки до определена система, за да се заемат достатъчно ресурси
и по този начин системата да стане неизползваема за легитимните хостове.
8. 6
неоторизиран трафик между мрежите. Той също би следвало да е защитен срещу
реконфигуриране с актуален административен софтуер;
защитна стена (firewall) – ролята на защитната стена е да блокира неизползваните
портове и да позволява трафик само от познатите такива. Тя трябва да наблюдава
пристигащите заявки за предотвратяване на атаки към сървъра;
комутатор (switch) – с минимална раля в сигурната мрежова среда. Предназначен е за
подобряване на мрежовата производителност и улесняване на администрирането.
Поради тази причина той може да бъде лесно конфигуриран чрез изпращането на
специални форматирани пакети към него.
1. Рутер.
Рутера осигурява маршрутизирането на пакетите от данни и може да блокира или
филтрира разпространението на такива пакети, за които се знае, че са уязвими или могат да
бъдат използвани злонамерено, като ICMP или SNMP (Simple Network Management Protocol)
протоколите. Ако на този етап липсва контрол, то последващата защита би била неефективна.
Основните конфигурационни категории на маршрутизатора са пачове и ъпдейти, протоколи,
администриране на достъпа, мрежови услуги, контрол на входа на мрежата и засичане на
прониквания в нея.
Допълването на софтуера и неговото редовно актуализиране (patches and updates), което
се осигурява от производителя на мрежовия хардуер, спомага за познаването на актуланите
пропуски в защитата и софтуерните услуги и своевременното реагиране на заплахите. Атаките
от типа октаз от услуга често се възползват от слабостите на ниво протоколи. За ефективни
контрамерки е необходимо използването на филтриране на входа и на изхода на мрежата и
наблюдаване на ICMP трафика от интернет пространството. Входящи заявки с вътрешен
мрежови адрес, са ясна индикация за опит за проникване или проучване, и би следвало да им се
отказва достъп до обхвата на LAN мрежата. Настройването на рутера да маршрутизира
изходящи пакети само ако те имат валиден мрежови адрес, не предпазва от външни атаки, но
поне предотвратява тяхното възникване във вътрешната мрежова среда. ICMP е протокол, който
стои на върха на мрежовия адрес и позволява достъпната информация между два хоста да бъде
проверена. Най – често използваните ICMP съобщения са показани в Таблица 1.
9. 7
Таблица 1
Основно използвани ICMP съобщения
Съобщения Описание
Echo request Определя дали хост или рутер е достъпен в
мрежата
Echo reply Отговаря на ICMP echo request
Destination unreachable Информира хост че, данните не могат да
бъдат доставени
Source quench Информира хоста да намали скоростта на
предаване на данните поради задръстване на
трафика
Redirect Информира хоста за предпочитания
маршрут
Time exceeded Изтичане на времето на сесията
Блокирането на ICMP протокола от въшния периметър на рутера, защитава от
наводняване на трафика в мрежата. Поради тази причина е важно да се контролира и да се
използва само в Echo request състояние. Директния трафик може да спомогне за разкриване на
цялата структура на мрежата и за атаки от типа отказ от услуга. Например с блокирането на
определни мрежови адреси може да се предотврати злонамерени „ехо заявки“ да блокират
честотата на мрежата. Такива адреси са показани в Таблица 2.
Таблица 2
Адреси за блокиране
Адреси Описание
0.0.0.0/8 Исторически първия адрес за излъчване на
заявки
10.0.0.0/8 Адрес, запазен за подмрежовата маска
127.0.0.0/8 Адрес за тестване на способността за
излъчване на заявки
10. 8
169.254.0.0/16 Адрес за свързване на локални мрежи
172.16.0.0/12 Запазен от IETF4 за частна мрежа
192.0.2.0/24 Адрес използван за специални цели IETF
192.168.0.0/16 Използван за комуникация в частна мрежа
224.0.0.0/4 Запазен за множество зададния
240.0.0.0/5 Запазен за бъдещо ползване
248.0.0.0/5 Неразпределен адрес
255.255.255.255/32 Адрес, запазен за излъчване на заявки в
цялата мрежа
За допълнителна защита трябва да се зададе на рутера точно от кой хост и коя мрежа ще
се извършва административния достъп и да се ограничат всички други възможности за вход към
устройството. Нужно е да се остави активен само интерфейса, който е необходим, да се въведат
сложни кодове за достъп, да се използва статично маршрутизиране и да се прави строга
проверка на уеб приложенията за администриране (външен интерфейс) и ако е възможно да се
остави активен само софтуера за администриране от вътрешни източници.
Всеки отворен порт на рутера се асоциира с услуга за приемане на заявки (listening
service). За да се редуцира обхата на дадена атака, е необходимо всички ненужни портове да
бъдат изключени. Например услугите bootps и Finger, които са рядко използвани.
Маршрутизатора може да бъде сканиран, за да се проверят кои портове са отворени.
По подразбиране всички логове (свързвания) към рутера не извършват някакви действия.
Трябва да се осигури централно място на съхранение на лог файловете. Съвременните
маршутизатори имат набор от функции за регистриране, което включва възможността да се
зададе предимство на логванията в зависимост от преходни данни за свързванията. Следва да се
4 IETF - основните органи в областта на техническите разработки и определянето на стандарти за Интернет.
11. 9
зададе и график за рутинна проверка на лог файловете за признаци на проникване или
сондиране на мрежата.
С правилно зададени ограничения в рутера за предотвратяване на TCP/IP атаки, той би
могъл да засече кога се извършва недоброжелателна намеса в системата и да уведоми системния
администратор на устройството. Поради факта, че хакерите научават устройството на LAN
системата, те могат да заобиколят наложените ограничения за достъп в нея, а системите за
засичне на намеса (Intrusion Detection Systems – IDSs) помагат да се определи къде точно ще
бъде извършена атаката.
2. Защитна стена (Firewall).
Наложително е всеки път когато се оперира в среда на непозната мрежа да бъде
приложена защитна стена. След рутера с неговите средства за филтриране на трафика, защитна
стена е следващата цел за атака. В повечето случаи хостовете нямат достъп до маршрутизатора,
но много от неговите филтри могат да се приложат и при защитната стена. Категориите за
конфигуриане на Firewall включват допълване на софтуера и неговото обновяване, филтриране,
контрол и наблюдения на свързванията, периметър на мрежите и засичане на непозволени
намеси в системата.
Обновяванията на софтуера спомагат за информираност за най – новите видове атаки и
по този начин защитата би била по – ефективна.
Филтрирането на отворени портове на защитната стена е ефективен начин за блокиране
на злонамерени пакети в трафика на мрежата. Обхвата на филтритте варира от филтриране на
прости пакети от данни, които ограничават трафика, до сложни филтри на апликациите, които
проверяват натоварването, предизикано от конкретни приложения. Използването на слоесто
филтриране е много ефективен начин за блокиране на атаки. Съществуват няколко типа филтри
на защитната стена: пакетни филтри (packet filters) – базирани на протоколи, на адреса на
изпращача и получателя или на име на компютър; филтри на верижно ниво (circuit-level filters) –
инспектират повече сесиите вместо пренасяния пакет от данни; филтри на приложенията
(application filters) – анализиране на потока от данни, произлизащ от приложения и осигуряване
на определено обработване на информацията; зададени филтри (stateful inspection) – преглед на
12. 10
състоянието на мрежовите връзки и сесии и тяхната цялост, при пътуването им из LAN средата;
филтри за специални приложения (custom application filters) – осигуряват целостта на
комуникацията на приложенията от типа клиент-сървър.
Трябва да се приложат следните политики за свързванията (logging): да се следи целия
трафик, поддържане на логова ротация за по – бърз анализ на данните и синхронизация на часа с
другите устройства в мрежата. Така би било възможно да се засекат опити за външни намеси в
мрежата или в по – лошия случай, да се установят вече извършени такива.
Периметъра от мрежи представлява определяне на вида мрежи, с които оперират
хостовете. Например ако интернет сървърите се свързват с крайна мрежа като хранилища на
база данни или корпоративна мрежа, то между двете трябва да има екран, който да ги изолира.
Предимства са че, работните станции и сървъри не са директно изложени на ненадежни мрежи,
отворените посртове и услуги са единствените входове за атаки, при достъпа се прилагат
правилата за сигурност. Слабостите са висока сложност на мрежата, разпределяне и управление
на IP адресите, изисквания към приложенията да съвпадат с дизайна на зададените мрежи.
3. Комутатор (switch).
Комутатора отговаря за разпределението на пакетите от данни директно към хост или
сегмент от мрежата. Трафикът не се споделя между мрежи, свързани със суич. Това е
превантивна мярка срещу подслушване на пакетите между мрежите. Един хакер може да
заобиколи лесно тази защита чрез реконфигуриране на правилата заложени в комутатора,
използвайки лесно достъпни административни интерфейси или познаване на паролите и
имената на потребителите и използването на прост протокол за управление на съобщенията
(Simple Network Management Protocol – SNMP). Категориите за прилагане на защита са
актуализиаране на софтуера, виртуални мрежи (Virtual Local Area Networks – VLANs), промяна
на заложените по подразбиране правила за достъп, мрежови услуги и криптиране на данните.
Обновяването на софтуера е наложително за осъвременяване информацията за
съществуващите към момента заплахи. Виртуалните мрежи се използват за сегментиране на
мрежите и прилагане на правила за достъп към тях. Промяната на правилата за достъп означава
промяна на всички пароли и протоколи на ниво SNMP, заложени по подразбиране. Изклюване
13. 11
на всички неизползвани усуги – Trivial File Transfer Protocol (TFTP) е спрян, админстративните
точки на достъп, базирани на интернет, премахнати и приложен към комутатора списък на
разрешения за достъп (ACLs5). Въпреки че, криптирането не се изпълнява традиционно при
комутатора, то неговото прилагане спомага да се създаде допълнително звено за защита при
свързаните с него мрежи.
4. Допълнителни средства за филтриране.
Съществуват и различни софтуерни средства за филтриране на трафика и контрол на
достъпа до LAN мрежи. Представляват сложни приложения, предоставящи на мрежовите
инженери или администратори, подходящи инструменти да наблюдават и управляват интернет
дейностите в локалните мрежи. Някои от режимите им на работа като „Gateway”, „Bridge”,
„Redirect” и „Single” , са приложими към всякакви видове мрежи. Други приложения предлагат
съществени методи, които позволяват на администраторите да изискват от потребителите
автентикация при свързването им с интернет. Могат да се настроят и филтри, активиращи се за
период от време, позволявайки на отделни сегменти от мрежата да имат достъп до интернет пo
различно време. Използването на филтри при портовете, спомага управляването и
ограничаването на свързването с определени интернет проложения като сайтове за игри, радио,
чатове и други. Инструментите за следене на потока от данни предоставят излгед към
изходящия трафик в реално време посредством динамична диаграма на потока. Могат да се
активират или изключат различни видове филтри като „DNS“, „HTTP“, „SMTP“, „POP3“, „FTP“,
„P2P“, „MSN“ и др., ограничаващи и контролиращи всички важни аспекти, свъразани с
използването на интернет. Най – общо може да се закючи че, изпoлзването на софтуерни
средства превръща контрола и управлението на LAN мрежите в лека и приятна задача.
5 ACL – е виртуален списък на разрешения, прикрепен към обект.
14. 12
Заключение.
Добре защитената LAN мрежа осигурява на потребителите безпроблемно споделяне на
данни и сигурност при сърфиране в интернет. За да се постигне това е необходимо правилното
конфигуриране на устройствата и софтуера в мрежата. Операционната система на
маршутизатора и комутатора да е актулана и с най – нови допълнения. Неизползваните
протоколи и портове да бъдат спрени. Целият трафик на информация трябва да бъде
наблюдаван и котролиран отвътре. Административният достъп до устройствата да е добре
защитен със силни пароли и всички интерфейси за управление изключени или ограничени до
минимум. Таблиците с историята за влизанията да се съхранява на централно и добре защитетно
място, както и да бъдат настроени средства за засичане на опити за намеса от външни
източници. Всички филтри трябва да блокират целия трафик без този, който е необходим за
нормалното функциониране на мрежата и предварително определен в защитната стена. Всички
пароли по подразбиране трябва да бъдат сменени и предаването на информацията криптирано.
Допълнителни методи за повишаване на сигурността са часовото време на всички устройства в
мрежата да е синхронизирано и виртуалния списък на устройствата с разрешен достъп до
мрежата да бъде приложен към рутера или суича. Като цяло мрежовата сигурност означава
защитата на устройствата, които са в нейния обхват и защита на информацията, която предават
помежду си.
15. 13
Използвана литература.
1. J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla and
Anandha Murukan, Microsoft Corporation. Improving Web Application Security:
Threats and Countermeasures. Публикувано Юни 2003 г. Извлечено на 14.04.2015.
Достъпно на адрес: https://msdn.microsoft.com/en-us/library/ff648651.aspx.
2. BEAL,Vangie. Quinstreet Enterprise. LAN - local-area network. Извлечено на
14.04.2015г. Достъпно на адрес:
http://www.webopedia.com/TERM/L/local_area_network_LAN.html.
3. ADMIN, John. Articles, Security: What is Sniffing? Публикувано 2011 г. Извлечено
на 15.04.2015 г. Достъпно на адрес: http://www.101hacker.com/2011/04/what-is-
sniffing-in-computers.html.
4. Internet Terms. Spoofing. Обновено на 13.11.2007 г. Извлечено на 15.04.2015 г.
Достъпно на адрес: http://techterms.com/definition/spoofing.
5. DAN, Marina. Softpedia. Active Wall Web Filter. Последно обновено на 26.11.2013 г.
Извлечено на 19.04.2015 г. Достъпно на адрес:
http://www.softpedia.com/get/Security/Firewall/Active-Wall-Free-Edition.shtml.