Основы сетевой безопасности: Обеспечение безопасности компьютерных сетей

Содержание

Обеспечение безопасности компьютерных сетей

Безопасность компьютерных сетей обеспечивается за счет политики и практик, принятых для предотвращения и мониторинга несанкционированного доступа, неправильного использования, модификации или отключения сети и доступных для нее ресурсов. Она включает в себя авторизацию доступа к данным, которая контролируется сетевым администратором. Пользователи выбирают или назначают идентификатор и пароль или другую аутентификационную информацию, которая позволяет им получать доступ к данным и программам в пределах своих полномочий.

обеспечение безопасности компьютерной сети

Сетевая безопасность охватывает множество компьютерных сетей, как государственных, так и частных, которые используются в повседневной работе, проводя транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными (например, внутри компании) и иными (которые могут быть открыты для доступа общественности).

Безопасность компьютерных сетей связана с организациями, предприятиями и другими типами учреждений. Это защищает сеть, а также выполняет защитные и надзорные операции. Наиболее распространенным и простым способом защиты сетевого ресурса является присвоение ему уникального имени и соответствующего пароля.

Управление безопасностью

Управление безопасностью для сетей может быть различным для разных ситуаций. Домашний или малый офис может требовать только базовой безопасности, в то время как крупным предприятиям может потребоваться обслуживание с высоким уровнем надежности и расширенное программное и аппаратное обеспечение для предотвращения взлома и рассылки нежелательных атак.

Типы атак и уязвимостей сети

Уязвимость является слабостью в дизайне, реализации, работе или внутреннем контроле. Большинство обнаруженных уязвимостей задокументированы в базе данных Common Vulnerabilitiesand Exposures (CVE).

Сети могут подвергаться атакам из различных источников. Они могут быть двух категорий: «Пассивные», когда сетевой нарушитель перехватывает данные, проходящие через сеть, и «Активные», при которых злоумышленник инициирует команды для нарушения нормальной работы сети или для проведения мониторинга с целью получить доступ к данным.

Чтобы защитить компьютерную систему, важно разобраться в типах атак, которые могут быть осуществлены против нее. Эти угрозы могут быть разделены на следующие категории.

информационная безопасность в компьютерных сетях

«Задняя дверь»

Бэкдор в компьютерной системе, криптосистеме или алгоритме - это любой секретный метод обхода обычных средств проверки подлинности или безопасности. Они могут существовать по ряду причин, в том числе по причине оригинального дизайна или из-за плохой конфигурации. Они могут быть добавлены разработчиком с целью разрешить какой-либо законный доступ, или же злоумышленником по иным причинам. Независимо от мотивов их существования они создают уязвимость.

Атаки типа «отказ в обслуживании»

Атаки на отказ в обслуживании (DoS) предназначены для того, чтобы сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей. Организаторы такой атаки могут закрыть доступ к сети отдельным жертвам, например, путем преднамеренного ввода неправильного пароля много раз подряд, чтобы вызвать блокировку учетной записи, или же перегружать возможности машины или сети и блокировать всех пользователей одновременно. В то время как сетевая атака с одного IP-адреса может быть заблокирована добавлением нового правила брандмауэра, возможны многие формы атак с распределенным отказом в обслуживании (DDoS), где сигналы исходят от большого количества адресов. В таком случае защита намного сложнее. Такие атаки могут происходить из компьютеров, управляемых ботами, но возможен целый ряд других методов, включая атаки отражения и усиления, где целые системы непроизвольно осуществляют передачу такого сигнала.

Атаки прямого доступа

Несанкционированный пользователь, получающий физический доступ к компьютеру, скорее всего, может напрямую копировать данные из него. Такие злоумышленники также могут поставить под угрозу безопасность путем внесения изменений в операционную систему, установки программных червей, клавиатурных шпионов, скрытых устройств для прослушивания или использования беспроводных мышей. Даже если система защищена стандартными мерами безопасности, их можно обойти, загрузив другую ОС или инструмент с компакт-диска или другого загрузочного носителя. Шифрование диска предназначено для предотвращения именно таких атак.

безопасность компьютерных сетей и безопасность информационных систем

Концепция сетевой безопасности: основные пункты

Информационная безопасность в компьютерных сетях начинается с аутентификации, связанной с введением имени пользователя и пароля. Такая ее разновидность является однофакторной. С двухфакторной аутентификацией дополнительно используется и дополнительный параметр (токен безопасности или «ключ», карточка ATM или мобильный телефон), с трехфакторной применяется и уникальный пользовательский элемент (отпечаток пальца или сканирование сетчатки).

После аутентификации брандмауэр применяет политику доступа. Эта служба безопасности компьютерной сети эффективна для предотвращения несанкционированного доступа, но этот компонент может не проверить потенциально опасный контент, такой как компьютерные черви или трояны, передаваемые по сети. Антивирусное программное обеспечение или система предотвращения вторжений (IPS) помогают обнаруживать и блокировать действие таких вредоносных программ.

Система обнаружения вторжений, основанная на сканировании данных, может также отслеживать сеть для последующего анализа на высоком уровне. Новые системы, объединяющие неограниченное машинное обучение с полным анализом сетевого трафика, могут обнаруживать активных сетевых злоумышленников в виде вредоносных инсайдеров или целевых внешних вредителей, которые взломали пользовательский компьютер или учетную запись.

Кроме того, связь между двумя хостами может быть зашифрована для обеспечения большей конфиденциальности.

Защита компьютера

В обеспечении безопасности компьютерной сети применяются контрмеры - действия, устройства, процедура или техника, которые уменьшают угрозу, уязвимость или атаку, устраняя или предотвращая ее, минимизируя причиненный вред или обнаруживая и сообщая о его наличии.

безопасность информации в компьютерных сетях

Безопасное кодирование

Это одна из основных мер безопасности компьютерных сетей. В разработке программного обеспечения безопасное кодирование направлено на предотвращение случайного внедрения уязвимостей. Также возможно создать ПО, разработанное с нуля для обеспечения безопасности. Такие системы «безопасны по дизайну». Помимо этого, формальная проверка направлена ​​на то, чтобы доказать правильность алгоритмов, лежащих в основе системы. Это особенно важно для криптографических протоколов.

Данная мера означает, что программное обеспечение разрабатывается с нуля для обеспечения безопасности информации в компьютерных сетях. В этом случае она считается основной особенностью.

Некоторые из методов этого подхода включают:

  1. Принцип наименьших привилегий, при котором каждая часть системы имеет только определенные полномочия, необходимые для ее функционирования. Таким образом, даже если злоумышленник получает доступ к этой части, он получит ограниченные полномочия относительно всей системы.
  2. Кодовые обзоры и модульные тесты – это подходы к обеспечению большей безопасности модулей, когда формальные доказательства корректности невозможны.
  3. Глубокая защита, где дизайн таков, что необходимо нарушить несколько подсистем, чтобы нарушить целостность системы и информацию, которую она хранит. Это более глубокая техника безопасности компьютерных сетей.

Архитектура безопасности

Организация Open Security Architecture определяет архитектуру IT-безопасности как "артефакты дизайна, которые описывают расположение элементов управления безопасностью (контрмеры безопасности) и их взаимосвязь с общей архитектурой информационных технологий". Эти элементы управления служат для поддержания таких атрибутов качества системы, как конфиденциальность, целостность, доступность, ответственность и гарантии.

особенности информационной безопасности в компьютерных сетях

Другие специалисты определяют ее как единый дизайн безопасности компьютерных сетей и безопасности информационных систем, который учитывает потребности и потенциальные риски, связанные с определенным сценарием или средой, а также определяет, когда и где применять определенные средства.

Ключевыми ее атрибутами являются:

  • отношения разных компонентов и того, как они зависят друг от друга.
  • определение мер контроля на основе оценки рисков, передовой практики, финансов и правовых вопросов.
  • стандартизации средств контроля.

Обеспечение безопасности компьютерной сети

Состояние «безопасности» компьютера - это концептуальный идеал, достигаемый при использовании трех процессов: предотвращения угрозы, ее обнаружения и ответа на нее. Эти процессы основаны на различных политиках и системных компонентах, которые включают следующее:

  1. Элементы управления доступом к учетной записи пользователя и криптографию, которые могут защищать системные файлы и данные.
  2. Брандмауэры, которые на сегодняшний день являются наиболее распространенными системами профилактики с точки зрения безопасности компьютерных сетей. Это связано с тем, что они способны (в том случае, если их правильно настроить) защищать доступ к внутренним сетевым службам и блокировать определенные виды атак посредством фильтрации пакетов. Брандмауэры могут быть как аппаратными, так и программными.
  3. Системы обнаружения вторжений (IDS), которые предназначены для обнаружения сетевых атак в процессе их осуществления, а также для оказания помощи после атаки, в то время как контрольные журналы и каталоги выполняют аналогичную функцию для отдельных систем.

«Ответ» обязательно определяется оцененными требованиями безопасности отдельной системы и может охватывать диапазон от простого обновления защиты до уведомления соответствующих инстанций, контратаки и т. п. В некоторых особых случаях лучше всего уничтожить взломанную или поврежденную систему, так как может случиться, что не все уязвимые ресурсы будут обнаружены.

Что такое брандмауэр?

Сегодня система безопасности компьютерной сети включает в себя в основном «профилактические» меры, такие как брандмауэры или процедуру выхода.

Брандмауэр можно определить как способ фильтрации сетевых данных между хостом или сетью и другой сетью, такой как Интернет. Он может быть реализован как программное обеспечение, запущенное на машине и подключающееся к сетевому стеку (или, в случае UNIX-подобных систем, встроенное в ядро ​​ОС), чтобы обеспечить фильтрацию и блокировку в реальном времени. Другая реализация - это так называемый «физический брандмауэр», который состоит из отдельной фильтрации сетевого трафика. Такие средства распространены среди компьютеров, которые постоянно подключены к Интернету, и активно применяются для обеспечения информационной безопасности компьютерных сетей.

Некоторые организации обращаются к крупным платформам данных (таким как Apache Hadoop) для обеспечения доступности данных и машинного обучения для обнаружения передовых постоянных угроз.

меры безопасности компьютерных сетей

Однако относительно немногие организации поддерживают компьютерные системы с эффективными системами обнаружения, и они имеют еще меньше механизмов организованного реагирования. Это создает проблемы обеспечения технологической безопасности компьютерной сети. Основным препятствием для эффективного искоренения киберпреступности можно назвать чрезмерную зависимость от брандмауэров и других автоматизированных систем обнаружения. Тем не менее это основополагающий сбор данных с использованием устройств захвата пакетов, которые останавливают атаки.

Управление уязвимостями

Управление уязвимостями - это цикл выявления, устранения или смягчения уязвимостей, особенно в программном обеспечении и прошивке. Этот процесс является неотъемлемой частью обеспечения безопасности компьютерных систем и сетей.

Уязвимости можно обнаружить с помощью сканера, который анализирует компьютерную систему в поисках известных «слабых мест», таких как открытые порты, небезопасная конфигурация программного обеспечения и беззащитность перед вредоносным ПО.

Помимо сканирования уязвимостей, многие организации заключают контракты с аутсорсингами безопасности для проведения регулярных тестов на проникновение в свои системы. В некоторых секторах это контрактное требование.

Снижение уязвимостей

Несмотря на то, что формальная проверка правильности компьютерных систем возможна, она еще не распространена. Официально проверенные ОС включают в себя seL4 и SYSGO PikeOS, но они составляют очень небольшой процент рынка.

Современные компьютерные сети, обеспечивающие безопасность информации в сети, активно используют двухфакторную аутентификацию и криптографические коды. Это существенно снижает риски по следующим причинам.

Взлом криптографии сегодня практически невозможен. Для ее осуществления требуется определенный некриптографический ввод (незаконно полученный ключ, открытый текст или другая дополнительная криптоаналитическая информация).

Двухфакторная аутентификация - это метод смягчения несанкционированного доступа к системе или конфиденциальной информации. Для входа в защищенную систему требуется два элемента:

  • «то, что вы знаете» - пароль или PIN-код;
  • «то, что у вас есть» - карта, ключ, мобильный телефон или другое оборудование.

Это повышает безопасность компьютерных сетей, так как несанкционированный пользователь нуждается в обоих элементах одновременно для получения доступа. Чем жестче вы будете соблюдать меры безопасности, тем меньше взломов может произойти.

Можно снизить шансы злоумышленников, постоянно обновляя системы с исправлениями функций безопасности и обновлениями, использованием специальных сканеров. Эффект потери и повреждения данных может быть уменьшен путем тщательного создания резервных копий и хранения.

компьютерные сети обеспечивающие безопасность информации в сети

Механизмы защиты оборудования

Аппаратное обеспечение тоже может быть источником угрозы. Например, взлом может быть осуществлен с использованием уязвимостей микрочипов, злонамеренно введенных во время производственного процесса. Аппаратная или вспомогательная безопасность работы в компьютерных сетях также предлагает определенные методы защиты.

Использование устройств и методов, таких как ключи доступа, доверенные модули платформы, системы обнаружения вторжений, блокировки дисков, отключение USB-портов и доступ с поддержкой мобильной связи, могут считаться более безопасными из-за необходимости физического доступа к сохраненным данным. Каждый из них более подробно описан ниже.

Ключи

USB-ключи обычно используются в процессе лицензирования ПО для разблокировки программных возможностей, но они также могут рассматриваться как способ предотвращения несанкционированного доступа к компьютеру или другому устройству. Ключ создает безопасный зашифрованный туннель между ним и программным приложением. Принцип заключается в том, что используемая схема шифрования (например, AdvancedEncryptionStandard (AES)), обеспечивает более высокую степень информационной безопасности в компьютерных сетях, поскольку сложнее взломать и реплицировать ключ, чем просто скопировать собственное ПО на другую машину и использовать его.

Еще одно применение таких ключей – использование их для доступа к веб-контенту, например, облачному программному обеспечению или виртуальным частным сетям (VPN). Кроме того, USB-ключ может быть сконфигурирован для блокировки или разблокировки компьютера.

Защищенные устройства

Защищенные устройства доверенных платформ (TPM) интегрируют криптографические возможности на устройства доступа, используя микропроцессоры или так называемые компьютеры на кристалле. TPM, используемые в сочетании с программным обеспечением на стороне сервера, предлагают оригинальный способ обнаружения и аутентификации аппаратных устройств, а также предотвращение несанкционированного доступа к сети и данным.

Обнаружение вторжений в компьютер осуществляется посредством кнопочного выключателя, который срабатывает при открытии корпуса машины. Прошивка или BIOS запрограммированы на оповещение пользователя, когда устройство будет включено в следующий раз.

Блокировка

Безопасность компьютерных сетей и безопасность информационных систем может быть достигнута и путем блокировки дисков. Это, по сути, программные инструменты для шифрования жестких дисков, делающие их недоступными для несанкционированных пользователей. Некоторые специализированные инструменты разработаны специально для шифрования внешних дисков.

Отключение USB-портов - это еще один распространенный параметр безопасности для предотвращения несанкционированного и злонамеренного доступа к защищенному компьютером. Зараженные USB-ключи, подключенные к сети с устройства внутри брандмауэра, рассматриваются как наиболее распространенная угроза для компьютерной сети.

Мобильные устройства с поддержкой сотовой связи становятся все более популярными из-за повсеместного использования сотовых телефонов. Такие встроенные возможности, как Bluetooth, новейшая низкочастотная связь (LE), ближняя полевая связь (NFC) привели к поиску средств, направленных на устранение уязвимостей. Сегодня активно используется как биометрическая проверка (считывание отпечатка большого пальца), так и программное обеспечение для чтения QR-кода, предназначенное для мобильных устройств. Все это предлагает новые, безопасные способы подключения мобильных телефонов к системам контроля доступа. Это обеспечивает компьютерную безопасность, а также может использоваться для контроля доступа к защищенным данным.

Возможности и списки контроля доступа

Особенности информационной безопасности в компьютерных сетях основаны на разделении привилегий и степени доступа. Широко распространены две такие модели - это списки управления доступом (ACL) и безопасность на основе возможностей.

Использование ACL для ограничения работы программ оказалось во многих ситуациях небезопасным. Например, хост-компьютер можно обмануть, косвенно разрешив доступ к ограниченному файлу. Было также показано, что обещание ACL предоставить доступ к объекту только одному пользователю никогда не может быть гарантировано на практике. Таким образом, и сегодня существуют практические недостатки во всех системах на основе ACL, но разработчики активно пытаются их исправить.

Безопасность на основе возможностей в основном применяется в исследовательских операционных системах, в то время как коммерческие ОС по-прежнему используют списки ACL. Однако возможности могут быть реализованы только на уровне языка, что приводит к специфическому стилю программирования, который по существу является уточнением стандартного объектно-ориентированного дизайна.

«Сетевая безопасность», часть 2 / Блог компании ua-hosting.company / Хабр

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год


Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3

Студент: возможно, у вас все еще есть проблема столкновения интересов, потому что вы могли бы задействовать 32 бита для адресов пиров и у вас имеется множество портов для каждого из них. Вероятно, у вас имеется конфликт порядковых номеров всех этих соединений, которые вы получаете?

Профессор: получается, что эти порядковые номера специфичны для IP-адреса и номера порта пары источник/назначение. Так что если это разные порты, то они совершенно не мешают друг другу. Если говорить конкретно, порты имеют меньшие порядковые номера.

Студент: если порядковые номера являются глобальными, то не может ли атакующий попасть в соединение между другими клиентами?

Профессор: да, это хорошее замечание. На самом деле, если сервер увеличивает порядковый номер, например, на 64k для каждого соединения, вы соединяетесь с сервером, а потом с ним соединяются ещё 5 человек, и здесь можно организовать атаку. Так что в какой-то степени, вы правы, это немного хлопотно. С другой стороны, вы могли бы, вероятно, сделать так, что пакет из последней строки S->A был бы доставлен непосредственно перед этим пакетом в первой строчке C->S. Если вы посылаете свои пакеты друг за другом, есть хороший шанс, что они прибудут на сервер также один за другим.

Сервер получит S->A и ответит этим порядковым номером (SNs). Он будет другой, чем (SNs) во второй строке, но с порядковым номером, который следует сразу за ним. И тогда вы будете точно знать, какой порядковый номер (SNs) следует вложить в третий пакет вашей последовательности.
Поэтому я думаю, что это не слишком надежный способ подключения к серверу, он основан на допущениях. Но если вы тщательно расположите свои пакеты нужным образом, то сможете легко отгадать последовательность. Или, может быть, вы попробуете несколько раз, и вам повезет.

Студент: даже если номера генерируются совершенно случайно, вам нужно угадать один из 4 миллиардов возможных номеров. Это не слишком большое количество, верно? Я думаю, что в течение года вы, вероятно, сможете пробиться в эту сеть.

Профессор: да, вы абсолютно правы. Вы не должны слишком полагаться на TCP в смысле обеспечения безопасности. Потому что вы правы, это всего лишь 4 миллиарда догадок. И вероятно, вы сможете отправлять в течение дня очень много пакетов, если у вас есть достаточно быстрое соединение.

Таким образом, у нас здесь имеется своего рода интересный аргумент по поводу ненадёжности TCP, потому что у нас имеется только 32 бита. Мы никак не можем его обезопасить. Но я думаю, что множество приложений, которые в достаточной мере полагаются на этот протокол, вообще не задумываются о безопасности, и это действительно становится проблемой.

Но вы абсолютно правы. На практике вы хотите использовать сверх этого какое-то шифрование, чтобы получить более серьёзные гарантии, что никто не подделал ваши данные, так как вы используете ключи шифрования длиной более 32 бит. В большинстве случаев это всё еще оказывается действенным для предотвращения вмешательств в TCP-соединение.

Давайте теперь посмотрим, почему плохо, если люди смогут подделывать TCP-соединения с произвольных адресов?

Одна из причин, почему это плохо – это может влиять на авторизацию на основе IP-адреса, когда сервер проверяет, с какого адреса пришёл запрос. Если некий сервер решает на основе IP-адреса, разрешать или запрещать соединение, потенциально это может быть проблемой для злоумышленника, который подделал соединение от произвольного адреса источника.

Итак, один пример, где это было проблемой, на сегодня эта проблема в основном решена, это использование семейства команд r, таких как rlogin. Раньше было так, что вы могли бы запустить что-то вроде rlogin для компьютера по адресу, скажем, athena.dialup.mit.edu. И если ваше соединение идёт от хоста MIT, тогда эта команда rlogin будет успешной, если вы скажете: «да, я пользователь Алиса на этом компьютере, позвольте мне зайти как пользователь Алиса на другой компьютер». И данная операция будет позволена, поскольку все компьютеры в сети mit.edu заслуживают доверия, чтобы делать такие заявления.

Я должен сказать, что у dial-up никогда не было этой проблемы. Это соединение использовало «Цербер» с самого начала. Но другие системы, конечно, имели такие проблемы. И это является примером использования IP-адреса в механизме проверки подлинности соединения, когда система проверяет, заслуживает ли доверия клиент, вызывающий сервер. Так что то, что раньше было проблемой, теперь ей не является. Но полагаться на IP всё равно кажется явно плохим планом.

Сейчас rlogin уже не используется, недавно он был заменен безопасной оболочкой SSH, которая является отличным протоколом сетевого уровня. С другой стороны, есть еще много других примеров протоколов, которые полагаются на авторизацию на основе IP-адреса. Одним из них является SMTP. Когда вы отправляете электронную почту, вы используете SMTP, чтобы поговорить с некоторым почтовым сервером для того, чтобы отправлять сообщения. Чтобы предотвратить спам, многие SMTP-серверы принимают входящие сообщения только с определенного исходного IP-адреса. Так, например, почтовый сервер Comcast принимает почту только с IP-адресов Comcast. То же самое для почтовых серверов MIT – они будут принимать почту только с IP-адресов MIT. Но у нас был, по крайней мере, один сервер, который не работал как нужно, используя IP-аутентификацию.

Здесь всё не так уж и плохо. В худшем случае, вы отправите часть спама через почтовый сервер. Так что, вероятно, поэтому они все еще используют rlogin, в то время как вещи, которые позволяют вам войти в произвольную учетную запись, перестали использовать идентификацию на основе IP-адресов.

Итак, почему такой механизм аутентификации — это плохой план? Как допущение предположим, что какой-то сервер использовал rlogin. Что бы вы сделали, чтобы атаковать? Что плохого при этом может произойти?

Студент: злоумышленник просто может попасть в ваш компьютер, подделать пользователя, который собирается войти в сеть с вашим логином, и получить доступ к сети.

Профессор: да, в основном злоумышленник захватывает компьютер. Он синтезирует данные, выглядящие как допустимый набор команд rlogin, которые говорят: «войдите как этот пользователь и выполните эту команду в моей оболочке Unix».

Вы синтезируете эти данные data (SNc +1), монтируете всю атаку и отправляете эти данные, как если бы с клиентом rlogin взаимодействовал законный пользователь, и тогда вы можете действовать дальше.

Хорошо, это одна из причин, почему вы не хотите, чтобы ваши порядковые номера TCP можно было бы угадать. Еще одна проблема — эти атаки сброса reset attack. Точно так же, как мы могли бы отправить SYN пакет, если знаем чей-то порядковый номер, точно также мы можем отправить пакет сброса.

Мы кратко упомянули легальный клиент, который посылает пакет сброса фальшивого соединения, которое установил злоумышленник. Атакующий точно так же может попытаться передать пакеты сброса для существующего соединения, если он каким-то образом знает, что ваш порядковый номер находится в этом соединении. На самом деле неясно, насколько велика эта проблема.

На каком-то уровне вы должны предполагать, что все ваши TCP-соединения могут быть нарушены в любом случае и в любое время, то есть не похоже, что ваша сеть надежна. Поэтому, возможно, вы должны ожидать разрыва соединений.

В случае, когда маршрутизаторы «разговаривают» друг с другом, это предположение носит особенно критический характер. Если у вас есть множество роутеров, которые общаются между собой с помощью некоторых протоколов маршрутизации, то между ними имеются какие-то физические связи. Но поверх этих физических связей они общаются по сетевому протоколу, который работает через TCP. Фактически в каждой из этих физических связей, которые роутеры используют для обмена информацией о маршрутизации, запущен сеанс TCP. Здесь используется протокол BGP, о котором мы поговорим позже.

Этот протокол BGP использует тот факт, что если TCP-соединение живо, то живо и физическое соединение. Так что если происходит разрыв TCP-соединения, роутер считает, что связь разорвана и начинает пересчитывать все свои таблицы маршрутизации.

Поэтому, если противник хочет устроить здесь какую-то атаку отказа в обслуживании DoS, он может попробовать угадать порядковые номера этих маршрутизаторов и сбросить эти сеансы. Если TCP-сеанс между двумя маршрутизаторами выключается, оба маршрутизатора считают, что это соединение мертво и они должны пересчитать все таблицы маршрутизации, из-за чего маршруты изменятся. После этого атакующий может сбросить другое соединение, и так далее.

Таким образом, это несколько тревожная атака, и не потому, что она нарушает чью-то тайну и так далее, по крайней мере, не напрямую, а потому что это действительно вызывает много проблем с доступом для других пользователей системы.

Студент: если вы злоумышленник и хотите организовать целевую атаку против конкретного пользователя, не могли бы вы просто сохранить отправку запросов на подключение к серверу от имени его IP-адреса и заставить его сбросить соединение с сервером?

Профессор: предположим, я использую Gmail и вы хотите не допустить меня к получению какой-то информации из Gmail, поэтому просто отправляете пакеты на мою машину, делая вид, что они приходят с сервера Gmail. В этом случае вы должны угадать правильные номера порта источника и порта назначения.

Номер порта назначения, вероятно, 443, потому что я использую HTTPS. Но номер порта источника будет какой-то случайной 16-битной вещью. Кроме того, порядковые номера будут отличаться. Поэтому, если вы не угадаете порядковый номер, который находится в моем окне TCP и который составляет десятки килобайт, вы не одержите успеха.

Таким образом, вы должны угадать изрядное количество вещей. Здесь нет никакого доступа типа «Оракул». Вы не можете просто так запросить у сервера порядковый номер этого парня. Вот причина, почему это тоже не сработает.

Итак, многие из этих проблем были исправлены, включая эту вещь на основе RST, особенно для BGP маршрутизаторов. На самом деле было два забавных исправления. Одно действительно показывает, как вы можете эксплуатировать существующие вещи или воспользоваться ими, чтобы исправить конкретные проблемы. Здесь используется то свойство, что эти роутеры общаются только с друг с другом, а не с кем-либо ещё в данной сети. В результате, если пакет прибывает не от маршрутизатора, находящегося на другом конце соединения, то этот пакет отбрасывается.

Удачной реализацией разработчиков этих протоколов является замечательная область в пакете, которая называется „время жизни“, или TTL. Это 8-битное поле, которое уменьшается на каждый маршрутизатор, чтобы убедиться, что пакеты не попадают в бесконечный цикл. Максимальное значение TTL равно 255 и далее уменьшается.

Итак, что делаю эти умные протоколы? Они сбрасывают любой пакет со значением TTL, которое не равно 255. Потому что, если пакет имеет значение 255, то он может прийти только от роутера на другой стороне данного соединения. И если противник пытается внедрить любой другой пакет в существующее соединение BGP, он будет иметь значение TTL меньше 255, потому что это значение будет уменьшено другими роутерами, расположенными вдоль пути маршрутизации, включая и данный роутер. Поэтому данный пакет просто будет отклонен получателем.

Так что это один из примеров умного сочетания обратно совместимых техник, которые решают эту очень специфическую проблему.

Студент: разве нижний правый маршрутизатор не отправляет что-то с TTL, равным 255?

Профессор: это физический маршрутизатор. И он знает, что это отдельные связи, поэтому он смотрит и на TTL и на то, откуда пакет пришёл. Так что если пакет пришел от левого верхнего роутера, он не будет его принимать для TCP-подключения между ним и верхним правым роутером.

По большей части эти маршрутизаторы доверяют своим непосредственным соседям, и этим процессом можно управлять с помощью механизма многопутевой маршрутизации Auto Pan.

Другие исправления для BGP заключаются в реализации некоторой формы заголовка аутентификации, в том числе заголовка аутентификации MD5. Но в действительности разработчики были нацелены на это конкретное приложение, для которого атака сброса особенно критична.

Эта проблема сохраняется и сегодня. Если существует какое-нибудь длительно существующее соединение и я хочу его прервать, я просто должен отправить большое количество RST-пакетов, приблизительно сотни тысяч, но вероятно, не 4 миллиарда. Потому что серверы на самом деле несколько уязвимы в отношении того, какой порядковый номер они принимают для сброса.

Это может быть любой пакет в определенном окне. В этом случае злоумышленник мог бы разорвать это соединение, не прилагая особых усилий. Это до сих пор является проблемой, для которой нет действительно хорошего решения.

И последняя плохая вещь, которая может произойти из-за предсказуемости порядковых номеров, это инъекция данных в существующие соединения. Предположим, у нас есть гипотетический протокол, похожий на rlogin, который на самом деле не выполняет аутентификацию на основе IP, поэтому для входа вы должны ввести свой пароль.

Проблема в том, что как только вы ввели свой пароль, возможно, ваше TCP-соединение просто устанавливается и может принимать произвольные данные. Так что злоумышленнику нужно просто подождать, пока один из вас, ребята, не залогиниться на компьютере, введя свой пароль.

Злоумышленник не знает, что это за пароль, но как только вы установили TCP-соединение, он сразу же попытается угадать ваш порядковый номер и ввести некоторые данные в ваше существующее соединение. Так что если я смогу правильно угадать ваш порядковый номер, то это позволит мне притвориться, будто бы не я, а вы ввели какую-то команду после того, как правильно аутентифицировались с помощью пароля.

Все это говорит о том, почему вы действительно не хотите полагаться на эти 32-х битные порядковые номера в смысле обеспечения безопасности. Но давайте посмотрим, что на самом деле делают современные стеки TCP для смягчения данной проблемы. Один подход к проблеме, который мы рассмотрим в 2-х следующих лекциях, состоит в реализации некоторой степени безопасности на уровне приложений. На этом уровне мы будем использовать криптографию для аутентификации, шифрование, подписи и проверку сообщений без особого участия TCP.

Некоторые из существующих приложений также помогают решить проблемы безопасности или, по крайней мере, усложнить злоумышленнику возможность использовать эти проблемы. Люди воплощают это сегодня на практике, например, в Linux и Windows, поддерживая разные начальные порядковые номера для каждой пары источник/назначение.

Таким образом, большинство реализаций TCP SYN все еще вычисляют этот начальный порядковый номер ISN так же, как мы вычисляли его раньше. Так что это старый стиль ISN, скажем так. И для того, чтобы на самом генерировать порядковый номер для любого конкретного соединения, мы добавляем к этому ISN старого образца случайное 32-х битное смещение. То есть мы добавляем к нему функцию — что-то типа хэш-функции или SHA-1, или что-нибудь получше.

Эта функция включает в себя IP-адрес источника, номер порта источника, IP-адрес назначения, номер порта назначения и какой-то секретный ключ, который знает только сервер. Таким образом, мы создаём хорошую возможность для любого конкретного соединения определять IP-адрес и порт для пары источник/назначение, сохраняя все хорошие свойства этого старого стиля алгоритма назначения порядкового номера.

Но если у вас есть соединения из разных наборов источник/назначение, то нет ничего, что позволяет узнать точное значение порядкового номера другого набора соединения. На самом деле, вам придется угадать этот ключ, чтобы вычислить это значение.

Я надеюсь, что ядро ОС сервера хранит этот ключ где-то в своей памяти и никому его не выдает. Вот таким образом большинство TCP-стеков решают сегодня эту конкретную проблему в области общих 32-х битных порядковых номеров. Это не слишком здорово, но оно работает.

Студент: не могли бы вы повторить это еще раз? Насчёт уникальности ключа…

Профессор: когда моя машина загружается, или когда любая машина загружается, она генерирует случайный ключ. Каждый раз, когда вы её перезагружаете, она генерирует новый ключ. А это значит, что каждый раз порядковые номера определенной пары источник/назначение изменяются с такой же частотой смещения. Таким образом, для данной пары источник/назначение параметры функции являются фиксированными. Так вы соблюдаете последовательность, когда номера эволюционируют согласно вашим начальным порядковым номерам для новых соединений, изменяясь по определенному алгоритму. Таким образом, обеспечивается защита от инъекции старых пакетов из предыдущих соединений в новые соединения, так же, как и защита от переназначения пакетов.

Единственная вещь, для которой нам нужен этот порядковый номер старого образца – это выбор алгоритма для предотвращения возникновения проблем с этими повторяющимися пакетами. Ранее мы рассматривали, что если вы получите порядковый номер для одного соединение A: A -> S: SYN (…), то после этого сможете сделать вывод о порядковом номере для соединения ACK (SNs).

Теперь этого больше нет, поскольку каждое соединение имеет другое смещение в этом 32-х битном пространстве так, как оно реализуется функцией F. Таким образом, это полностью исключает связь между различными начальными порядковыми номерами, как это видно в каждом соединении.

Студент: какой смысл включать в эту функцию ключ?

Профессор: если вы не включите ключ, тогда я смогу с вами связаться. Я вычислю ту же функцию F, вычислю значение порядкового номера, затем вычислю функцию F для соединения, которое хочу подделать, и я угадаю, какой для этого будет первоначальный порядковый номер.

Студент: так как машины теперь перезагружаются редко, можно ли попытаться подделать аутентификацию с помощью реверсивного…

Профессор: я думаю, что обычно эта функция F является чем-то вроде криптографически безопасной хэш-функции, и криптографически её трудно инвертировать. Даже если вам были даны буквальные входные и выходные данные этой хэш-функции, за исключением ключа, расшифровать его будет очень трудно даже в изолированном наборе. Так что, надеюсь, это будет, по крайней мере, так же сложно выполнить в комплексном наборе данных. Позже мы поговорим немного больше о том, какими бывают эти функции F и как их правильно использовать.

Итак, это был своего рода пример атак с использованием порядковых номеров TCP, которые на сегодня не особо актуальны. Каждая операционная система в наше время использует этот план защиты, поэтому трудно сделать вывод, каким будет чей-то порядковый номер.

С другой стороны, люди продолжают совершать одни и те же ошибки. Даже после того, как для TCP был реализован механизм смещения, был разработан другой протокол под названием DNS, который оставался чрезвычайно уязвим для атак подобного рода. Причина заключалась в том, что DNS запускался через UDP – протокол пользовательских датаграмм. UDP — это протокол без отслеживания состояния, когда вы фактически не устанавливаете соединение, в котором обмениваетесь порядковыми номерами. В UDP вы просто отправляете запрос из своего источника к серверу. Сервер выясняет, каким должен быть ответ, и отправляет его обратно независимо от того, какой бы адрес источника не появился в пакете. Это маршрут по одному пути, в котором нет времени и возможности для обмена порядковыми номерами и установления того факта, что вы действительно общаетесь с правильным источником. В результате этого было очень легко подделывать ответы DNS-сервера. Как же выглядит типичный запрос в DNS?

Предположим, клиент посылает DNS-серверу запрос C: C53 -> S53 на доступ к ресурсу mit.edu, обычно он принимается и отсылается через порт 53.

Далее сервер отвечает клиенту пакетом S: S53 -> C53 с названием запрошенного ресурса и его IP-адресом, и на этом всё заканчивается – соединение установлено.

Проблема заключается в том, что некоторые хакеры могут легко отправить подобный пакет ответа, делая вид, что этот пакет отправлен сервером, и здесь не так много случайностей. Если я знаю, что вы пытаетесь подключиться к mit.edu, я просто отправлю много таких пакетов на ваш компьютер.

Я точно знаю, какой DNS-сервер вы собираетесь запросить. Я точно знаю ваш IP-адрес, я знаю номера портов и я знаю, о чем вы спрашиваете. Поэтому я могу просто указать здесь вместо IP-адреса ресурса mit.edu свой IP-адрес. И если мой пакет попадает туда после того, как вы посылали свой запрос, но до того, как вы получили ответ реального сервера, ваша клиентская машина будет использовать мой пакет. Так что это еще один пример, где недостаточная случайность в протоколе позволяет очень легко инъецировать в соединение ответы или пакеты в целом.

На самом деле, в некотором смысле это даже хуже, чем предыдущая атака. Потому что здесь вы можете убедить клиента подключиться к другому IP-адресу. Вероятно, этот результат кэшируется, потому что DNS-сервер использует кэширование. Благодаря этому, вы можете очень долгое время находится внутри, при этом ваш клиент до перезагрузки будет использовать фальшивый IP-адрес mit.edu.

Студент: нельзя ли это исправить путём включения некоторого случайного значения в клиентский запрос, которое позволяет серверу узнать, что это настоящий клиент?

Профессор: это именно то, что сейчас сделали. Проблема, как мы уже упоминали, заключается в обратной совместимости. Очень сложно изменить программное обеспечение каждого DNS-сервера, поэтому очень трудно выяснить, в каком именно месте можно ввести случайность. Разработчики нашли всего 2 таких места. Первое — это номер порта источника, который использует 16 бит случайности. Так что если вы можете выбрать номер порта источника случайным образом, то вы получите 16 бит. Внутри пакета есть идентификатор запроса ID, который также равен 16 битам, причём сервер не возвращает идентификатор запроса.

Таким образом, объединяя эти две вещи вместе, большинство современных распознавателей получают из этого протокола 32 бита случайности. Это, опять же, делает его заметно сложнее, чтобы подделать такой ответ и чтобы он был принят клиентом, но все же не идеальным в смысле криптографии.

К сожалению, подобные проблемы возникают постоянно, хотя данный вариант защиты был разработан несколько лет назад.

Я думаю, несколько в стороне существует другое решение этой проблемы DNS и обеспечения безопасности DNS на уровне приложений. Вместо того, чтобы полагаться на свойства случайностей небольшого количества битов в пакете, в DNS протоколах можно попробовать использовать шифрование. Например, протокол DNS SEC, о котором кратко говорится в статье Стивена. Вместо того, чтобы полагаться на любые свойства безопасности на уровне сети, они требуют, чтобы все DNS-имена имели прикреплённые к ним подписи. Это кажется разумным планом, но оказывается, что проработка деталей на самом деле довольно трудоёмка.

Одним из примеров обнаруженной проблемы является имя и источник происхождения origin. В DNS вы хотите получить ответ, что это имя ресурса имеет этот IP-адрес, либо ответ: „извините, но такого имени не существует“. Таком образом, вы также хотите подписать ответ, отрицающий существование имени, потому что в противном случае, атакующий может послать вам ответ, что данного имени не существует, даже если оно существует. Так каким образом можно подписать ответ, что данного имени не существует ещё до того, как был послан запрос по поводу данного имени?

Я думаю, одна из возможностей – это предоставить вашему DNS-серверу ключ, который подпишет все ваши записи. Однако, похоже, это плохой план. Потому что тогда кто-то, кто компрометирует ваш DNS-сервер, может завладеть этим ключом. Вместо этого модель, по которой работает DNS SEC, заключается в том, что вы заранее подписываете все ваши имена в домене, а затем предоставляете DNS-серверу этот список подписей. Теперь DNS-сервер может отвечать на любые запросы, причем, даже если он будет скомпрометирован, атакующий мало что может сделать – ведь все эти вещи подписаны, а ключ не находится на сервере.

Протокол DNS SEC имеет умный механизм для подписания несуществующих имён, который называется NSEC. Он делает это, подписывая пробелы в пространстве имен. Например, NSEC может сказать, что раз есть имя foo.mit.edu, следующим за ним именем в алфавитном порядке будет goo.mit.edu, и между этими двумя именами не может быть ничего другого, расположенного в алфавитном порядке.

Поэтому, если вы запрашиваете имя, которое находится между этими двумя именами, отсортированными в алфавитном порядке, то сервер может отправить вам сообщение о том, что между этими двумя именами ничего нет, то есть вы вполне безопасно получите подлинный ответ „извините, но такого имени не существует“.

Однако это позволяет злоумышленнику полностью перечислить ваши доменные имена. То есть он может запросить доменное имя, найти эту запись foo.mit.edu -> goo.mit.edu — >…. и сказать: » отлично, эти два имени существуют, а теперь позвольте мне запросить имя gooa.mit.edu". Это даст ему ответ, говоря, каково следующее имя в вашем домене и так далее.

Так что на самом деле немного трудно придумать правильный протокол, который сохранял бы все хорошие свойства DNS и при этом предотвращал бы перечисление имен и другие проблемы. Сейчас там используется хорошая вещь под названием NSEC3, которая пытается решить эту проблему частично – кое-что вроде работает, кое-что не совсем.

52:00 мин

Курс MIT «Безопасность компьютерных систем». Лекция 12: «Сетевая безопасность», часть 3


Полная версия курса доступна здесь.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до декабря бесплатно при оплате на срок от полугода, заказать можно тут.

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Как избежать популярных ошибок сетевой безопасности

В середине сентября стало известно об утечке почти 2Тб данных, в которых содержалась информация о работе системы оперативно-розыскных мероприятий (СОРМ) в сети одного российского оператора связи. Утечка произошла из-за неправильно настроенной утилиты резервного копирования rsync. Подобные ошибки – частая причина проблем крупных компаний. В этой статье мы разберем семь самых популярных ошибок сетевой безопасности: расскажем, как их можно обнаружить и устранить.

Распространенная причина успеха развития атак внутри сети — ошибки конфигурирования каналов связи или систем обработки и хранения данных, а также нарушения регламентов ИБ. Все это снижает эффективность используемых средств защиты и увеличивает шансы злоумышленников на взлом и развитие атаки. Во время проектов по расследованию инцидентов и анализа трафика наша команда PT Expert Security Center регулярно находит типичные ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов ИБ. Давайте посмотрим, что это за ошибки.

7 типовых ошибок сетевой безопасности


Как показывает наша практика, в 9 из 10 организаций, независимо от их размера и сферы деятельности, наиболее часто встречаются следующие ошибки:
  1. Передача учетных данных по сети в открытом виде.
  2. Нешифрованные почтовые сообщения.
  3. Использование утилит для удаленного доступа.
  4. Использование широковещательных протоколов LLMNR и NetBios.
  5. Ошибки конфигурирования сетей.
  6. TOR, VPN-туннели и прочие инструменты сокрытия активности в сети.
  7. Нецелевое использование систем (майнеры криптовалют, торренты).

Причины ошибок в недостаточном внимании к обеспечению ИБ, в отсутствии или нарушении регламентов ИБ и IТ в организации, ошибок при настройке систем, а в больших корпоративных сетях еще из-за того, что сложно контролировать корректность конфигураций.

Далее мы поговорим о каждой ошибке, к каким последствиям они могут привести, покажем, как их можно выявить и дадим рекомендации по их устранению.

Передача учетных данных по сети в открытом виде


Все еще встречается использование сетевых протоколов, в которых в открытом виде передаются учетные данные пользователей, — это HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet. По данным нашего исследования, хранение важной информации в открытом виде на сетевых ресурсах встречается в 44% организаций, в которых мы проводили анализ защищенности. В случае компрометации сети злоумышленник может в пассивном режиме перехватить учетные данные, закрепить свое присутствие в инфраструктуре и повысить свои привилегии.

Пример «летающих» учетных данных, выявленных с помощью PT NAD

На видео мы показали, как с помощью системы анализа трафика PT Network Attack Discovery можно проверить, передаются ли по сети учетные данные в открытом виде. Для этого мы отфильтровали в PT NAD сетевые сессии по признаку передачи пароля. Это позволило найти факты передачи учетных данных для веб-приложения, в нашем случае — системы мониторинга Zabbix. Имея привилегированную учетную запись на сервере Zabbix, злоумышленник чаще всего получает возможность удаленного выполнения команд на всех системах, подключенных к мониторингу. Также в демонстрации мы рассмотрели пример анализа трафика на использование отрытых сетевых протоколов (LDAP, FTP, HTTP, POP3, SMTP, Telnet) и извлечение из него учетных записей пользователей.

Устранить передачу учетных данных в открытом виде можно несколькими способами.

  1. WEB-серверы: перейти с протокола HTTP на HTTPS. Для перехода на защищенный протокол HTTPS требуется настроить SSL-сертификат и переадресацию с HTTP-адресов на HTTPS. На внутренних ресурсах организации допустимо настроить самоподписанные сертификаты, предварительно настроив внутренний центр сертификации. Для общедоступных ресурсов лучше использовать доверенные сертификаты, выпущенные доверенным удостоверяющим центром.
  2. Протокол LDAP: настроить клиенты на использование аутентификации через Kerberos или использование защищенной версии протокола. Для настройки аутентификации через Kerberos, необходимо настроить клиентов на использование SASL механизмов аутентификации GSSAPI или GSS-SPNEGO.
  3. Для настройки аутентификации защищенной TLS, необходимо активировать LDAPS на сервере согласно инструкции. Далее настроить клиентов на использование TLS (LDAPS) при подключении к LDAP серверу.
  4. Почтовые протоколы: настроить клиенты и серверы на использование TLS. Вместо стандартных POP3, IMAP и SMTP рекомендуем настроить клиенты и серверы организации на использование их защищенных аналогов POP3S, IMAPS и SMTPS согласно инструкции вашего почтового сервера. Стоит отметить, что при принудительном включении TLS письма могут не быть доставлены на серверы, не поддерживающие шифрование.
  5. Протокол Telnet: перейти на SSH. Следует полностью отказаться от использования протокола Telnet и заменить его на защищенный протокол SSH.
  6. FTP: перейти на SFTP или FTPS. FTPS — версия FTP с применением протокола SSL, требующая для своей работы SSL-сертификат. SFTP — протокол передачи файлов, чаще всего использующий SSH. Как следствие, требует меньше настроек на серверах, где уже применяется SSH.

Нешифрованные почтовые сообщения


Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Это приводит к тому, что письма, передающиеся в защищенном виде внутри сети в дальнейшем могут передаваться по интернету в открытом виде. В результате злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера), может беспрепятственно получать любую информацию из писем.

Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, мы воспользовались в PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, мы добавили фильтр по команде STARTTLS. В результате было обнаружено письмо с вложением, переданное в открытом виде.

Подробнее на видео

Возможные варианты устранения ошибки:
  1. Настроить сервер на принудительное использование TLS при отправке почты (но в этом случае письма могут быть не доставлены на серверы, не поддерживающие шифрование).
  2. Настроить использование S/MIME — стандарта для отправки зашифрованных сообщений и сообщений с цифровой подписью. Требует настройки почтового клиента и S/MIME сертификата. Подробнее по ссылке.
  3. Применять PGP. Принудительное использование PGP также исключит передачу писем в открытом виде, однако это требует дополнительной настройки на клиентах и передачи открытого ключа получателям. Данный вариант больше подходит для использования в частных случаях.

Использование утилит для удаленного доступа


Сотрудники часто применяют утилиты для удаленного доступа (remote access tools, RAT), например, TeamViewer, Ammyy Admin, RMS и другие. Если это разрешено внутренними политиками ИБ, то в случае когда злоумышленник воспользуется этими же инструментами, отличить нелегитимное их использование от легитимного будет сложно.

Обнаружить подключения через TeamViewer можно с помощью системы анализа трафика. В нашем случае, мы обнаружили две такие сетевые сессии. Если в организации запрещено использование утилит удаленного управления, то специалисту по ИБ стоит провести расследование, чтобы установить источник активности.

Еще один механизм выявления случаев использования RAT – предустановленные правила. На видео с их помощью мы обнаружили факт использования утилиты Remote Admin.

Подробнее на видео

Рекомендации по устранению нарушения:
  1. Контролировать использование утилит удаленного управления. Необходимо разработать регламенты ИБ, запрещающие несанкционированное использование утилит для удаленного управления, а также контролировать их соблюдение. Подключение RAT можно также запретить на уровне некоторых сетевых средств безопасности, например, NGFW.
  2. Разграничить права локальных пользователей на рабочих станциях. Если пользователям не будут выданы избыточные административные права, разрешающие в том числе установку программ на рабочие компьютеры, использование утилит будет невозможно.
  3. Ввести политику белых списков для ПО. Самый надежный, но трудоемкий метод решения. Ввести в организации список «белого» ПО и следить, что на всех узлах используется ПО только из этого списка, а также следить за актуальностью списка. Для настройки можно воспользоваться утилитой AppLocker, которая входит в состав Windows. Подробнее по ссылке.

Использование широковещательных протоколов LLMNR и NetBios


Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBios. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку «человек посередине» (англ. Man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Мы попробовали выявить использование данных протоколов, воспользовавшись виджетом «Прикладные протоколы» в PT NAD. Мы обнаружили, что, кроме привычных протоколов, используются протоколы LLMNR и NBNS. Добавив их к фильтру, также обнаружили всех клиентов, которые отправляли запросы, используя данный протокол.

Видео

Чтобы устранить эту ошибку, нужно:

1. Отключить LLMNR. Для этого необходимо предварительно на клиентах произвести настройку DNS. Произвести отключение LLMNR можно с помощью групповой политики «Turn Off Multicast Name Resolution» в разделе «Computer Configuration -> Administrative Templates -> Network -> DNS Client». Для отключения значение политики должно быть выставлено в «Enabled».

По клику картинка откроется в полном размере

2. Отключить NetBios. Для этого необходимо воспользоваться оснасткой dhcpmgmt.msc. Server Options: Вкладка Advanced -> Microsoft Windows 2000 Options -> Microsoft Disable Netbios Option. Выставить значение 0x2.

3. Также поддержку NetBios можно отключить через запуск PowerShell скрипта на узлах с помощью групповой политики «Scripts» в разделе «Computer Configuration -> Policies-> Windows Settings». Требуется добавить startup PowerShell script с следующим содержимым:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Данный скрипт для всех сетевых адаптеров в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces установит значение параметра NetbiosOptions на 2.
Если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBios может сказаться на их работоспособности.

Ошибки конфигурирования сетей


Наиболее частые ошибки, связанные с неверным конфигурированием работы сети:
  1. Излишне «доверительные» отношения между подсетями. Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.
  2. Доступ узлов инфраструктуры ко внешним DNS-серверам. При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.
  3. Открытые для внешней сети «наружу» сетевые порты и сервисы порты без необходимости в этом (например, базы данных). Вследствие у злоумышленника появляются большие возможности для проведения атаки. Например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья.

Чтобы выявить такие ошибки, мы воспользовались вкладкой PT NAD «Сетевые связи». Все связи представлены в виде графа. Мы попробовали найти соединения из подсети DMZ в пользовательскую подсеть. Для этого настроили фильтр по подсетям. В результате мы обнаружили нежелательную сетевую связь, а также сработавшее событие — сканирование утилитой nmap, что служит индикатором проводившейся сетевой разведки.

Также мы попробовали найти связи из внешней сети к подсети DMZ. Проанализировали прикладные протоколы — увидели активное использование служебных протоколов, а также событие — попытку эксплуатации уязвимости EthernalBlue, ставшей причиной нашумевшей эпидемии WannaCry.

Далее рассмотрели корректность работы DNS. Для этого отфильтровали трафик по протоколу и выбрали в качестве получателя IP-адреса не из локальной сети. В итоге обнаружили DNS-запросы к серверам Google, исходящие от сегмента пользователей.

Видео

Устранить ошибки можно следующим образом:
  1. Настроить Access Control List (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями. ACL — это набор разрешающих или запрещающих правил для сетевого трафика (в контексте сетевого оборудования). В большинстве случаев списки доступа применяют для пакетной фильтрации на границе интернета и частной сети, однако фильтрация может также потребоваться на границе DMZ и других подсетей.
  2. Настроить межсетевой экран. Межсетевые экраны также должны быть настроены не только на границе с внешней сетью, но и между внутренними подсетями организации.
  3. Запретить изменения сетевых настроек пользователей. Для этого настройте параметр в групповых политиках Windows: «User Configuration -> Administrative Templates -> Network -> Network Connections».

Сокрытие трафика


Инструментами сокрытия трафика могут быть VPN, Tor, шифрующие proxy и другие зашифрованные туннели. Их несанкционированное и неконтролируемое использование может привести к снижению эффективности средств защиты в организации; потере контроля за контентом, передаваемым в туннелированном трафике; злоумышленник может получить зашифрованный туннель во внутреннюю сеть организации, в случае компрометации домашнего компьютера сотрудника.

Для выявления использования этих средств подойдут такие фильтры: по репутационному списку tor-relays, который содержит актуальные адреса узлов сети Tor, а также фильтр по протоколу TLS, так как Tor маскируется под него. Использованный в «подозрительной» сессии TLS-сертификат является автоматически сгенерированным, что является индикатором соединения сети Tor.

Для обнаружения VPN и других туннелей можно воспользоваться фильтром по ключевому слову PPTP (Point-to-Point Protocol), а для обнаружения SOCKS5-трафика — уже знакомым нам фильтром по протоколу. Так мы нашли VPN-сессию с внешним хостом и множество подключений по SOCKS5.

Видео

Методы решения данной проблемы мы уже рассматривали ранее, справиться поможет:
  1. Разграничение прав локальных пользователей.
  2. Политика белых списков для ПО.
  3. Настройка сетевого экрана.
  4. Закрытие сетевых портов.

Нецелевое использование систем


К нецелевому использованию систем относятся применение майнеров криптовалют, Bittorent-клиентов, онлайн-игры. Несмотря на то, что это не создает непосредственных угроз безопасности, это увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО.

Выявить майнеры поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате мы видим большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором работы криптомайнера может служить сработавшие правила.

С Bittorent и онлайн-играми все еще проще — для поиска торрент-трафика воспользуемся фильтром по протоколу Bittorent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.

Видео

Средства противодействия почти те же, что и в пунктах выше:
  1. Разграничить права локальных пользователей.
  2. Политика белых списков для ПО.
  3. Обновить антивирус и его базы.

Подведем итоги


В большинстве компаний мы замечаем проблемы с корректной настройкой обширных корпоративных сетей и несоблюдение конфигураций, политик и регламентов ИБ. Это связано с постоянным ростом сетей и изменениям внутри них, а также с изменениями в самих регламентах и политиках. Вот общие рекомендации, позволяющие избежать многие ошибки:
  1. Минимизировать использование открытых протоколов.
  2. Контролировать разграничение сетевого доступа.
  3. Разграничивать права пользователей.

При этом на рынке уже есть инструменты, способные отслеживать сетевую активность внутри организации, своевременно обнаруживать как ошибки настроек, так и активность злоумышленников. Одна из таких систем – это PT Network Attack Discovery.

Автор: Алексей Леднев, Старший специалист. PT Expert Security Center

Как избежать популярных ошибок сетевой безопасности

Как избежать популярных ошибок сетевой безопасности

В этой статье мы разберем семь самых популярных ошибок сетевой безопасности: расскажем, как их обнаружить и устранить.

Автор: Алексей Леднев, старший специалист экспертного центра безопасности, Positive Technologies (PT Expert Security Center)

В середине сентября стало известно об утечке почти 2 ТБ данных, в которых содержалась информация о работе системы оперативно-розыскных мероприятий в сети одного российского оператора связи. Утечка произошла из-за неправильно настроенной утилиты резервного копирования rsync. Подобные ошибки — частая причина проблем крупных компаний. В этой статье мы разберем семь самых популярных ошибок сетевой безопасности: расскажем, как их обнаружить и устранить.

Распространенная причина успеха развития атак внутри сети — ошибки конфигурирования каналов связи или систем обработки и хранения данных, а также нарушения регламентов ИБ. Все это снижает эффективность используемых средств защиты и увеличивает шансы злоумышленников на взлом и развитие атаки. Во время проектов по расследованию инцидентов и анализа трафика наша команда PT Expert Security Center регулярно находит типичные ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов ИБ. Давайте посмотрим, что это за ошибки.

Семь типовых ошибок сетевой безопасности

Как показывает наша практика, в 9 из 10 организаций, независимо от их размера и сферы деятельности, наиболее часто встречаются следующие ошибки:

  1. передача учетных данных по сети в открытом виде,

  2. нешифрованные почтовые сообщения,

  3. использование утилит для удаленного доступа,

  4. использование широковещательных протоколов LLMNR и NetBIOS,

  5. ошибки конфигурирования сетей,

  6. TOR, VPN-туннели и прочие инструменты сокрытия активности в сети,

  7. нецелевое использование систем (майнеры криптовалют, торренты).

Причины ошибок в недостаточном внимании к обеспечению ИБ, в отсутствии или нарушении регламентов ИБ и IТ в организации, в ошибках при настройке систем, а в больших корпоративных сетях еще из-за того, что сложно контролировать корректность конфигураций.

Далее мы поговорим о каждой ошибке: к каким последствиям они могут привести, на примере системы анализа трафика PT Network Attack Discovery (PT NAD) покажем, как их можно выявить и дадим рекомендации по их устранению. PT NAD — система класса NTA (Network Traffic Analysis), которая разбирает трафик на уровнях L2 — L7 и выявляет атаки на периметре и в инфраструктуре. Для проверки на наличие ошибок в сети мы будем применять фильтрацию трафика по протоколу и несколько дополнительных инструментов.

Передача учетных данных по сети в открытом виде

Все еще встречается использование сетевых протоколов, в которых в открытом виде передаются учетные данные пользователей, — это HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet. По данным нашего исследования, хранение важной информации в открытом виде на сетевых ресурсах встречается в 44% организаций, в которых мы проводили анализ защищенности. В случае компрометации сети злоумышленник может в пассивном режиме перехватить учетные данные, закрепить свое присутствие в инфраструктуре и повысить свои привилегии.

Пример передаваемых учетных данных, выявленных с помощью PT NAD

На видео мы показали, как с помощью PT NAD можно проверить, передаются ли по сети учетные данные в открытом виде. Для этого мы отфильтровали в PT NAD сетевые сессии по признаку передачи пароля. Это позволило найти факты передачи учетных данных для веб-приложения, в нашем случае — системы мониторинга Zabbix. Имея привилегированную учетную запись на сервере Zabbix, злоумышленник чаще всего получает возможность удаленного выполнения команд на всех системах, подключенных к мониторингу. Также в демонстрации мы рассмотрели пример анализа трафика на использование отрытых сетевых протоколов (LDAP, FTP, HTTP, POP3, SMTP, Telnet) и извлечение из него учетных записей пользователей.

Подробнее на видео

Перечислим методы устранения передачи учетных данных в открытом виде на разных участках инфраструктуры:

  1. Веб-серверы: перейти с протокола HTTP на HTTPS. Для перехода на защищенный протокол HTTPS требуется настроить SSL-сертификат и переадресацию с HTTP-адресов на HTTPS. На внутренних ресурсах организации допустимо настроить самоподписанные сертификаты, предварительно настроив внутренний центр сертификации. Для общедоступных ресурсов лучше использовать доверенные сертификаты, выпущенные доверенным удостоверяющим центром.

  2. 2. Протокол LDAP: настроить клиенты на использование аутентификации через Kerberos или использование защищенной версии протокола. Для настройки аутентификации через Kerberos, необходимо настроить клиентов на использование SASL-механизмов аутентификации GSSAPI или GSS-SPNEGO. TLS, необходимо активировать LDAPS на сервере согласно инструкции. Далее настроить клиентов на использование TLS (LDAPS) при подключении к LDAP-серверу.

  3. Почтовые протоколы: настроить клиенты и серверы на использование TLS. Вместо стандартных POP3, IMAP и SMTP рекомендуем настроить клиенты и серверы организации на использование их защищенных аналогов POP3S, IMAPS и SMTPS согласно инструкции вашего почтового сервера. Стоит отметить, что при принудительном включении TLS письма могут быть не доставлены на серверы, не поддерживающие шифрование.

  4. Протокол Telnet: перейти на SSH. Следует полностью отказаться от использования протокола Telnet и заменить его на защищенный протокол SSH.

  5. FTP: перейти на SFTP или FTPS. FTPS — версия FTP с применением протокола SSL, требующая для своей работы SSL-сертификат. SFTP — протокол передачи файлов, чаще всего использующий SSH. Как следствие, требует меньше настроек на серверах, где уже применяется SSH.

Нешифрованные почтовые сообщения

Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Это приводит к тому, что письма, передающиеся в защищенном виде внутри сети, в дальнейшем могут передаваться по интернету в открытом виде. В результате злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера), может беспрепятственно получать любую информацию из писем.

Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, мы воспользовались в PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, мы добавили фильтр по команде STARTTLS. В результате было обнаружено письмо с вложением, переданное в открытом виде.

Подробнее на видео

Возможные варианты устранения ошибки:
  1. Настроить сервер на принудительное использование TLS при отправке почты (но в этом случае письма могут быть не доставлены на серверы, не поддерживающие шифрование).

  2. Настроить использование S/MIME — стандарта для отправки зашифрованных сообщений и сообщений с цифровой подписью. Требует настройки почтового клиента и S/MIME сертификата. Подробнее — на сайте Microsoft.

  3. Применять PGP. Принудительное использование PGP также исключит передачу писем в открытом виде, однако это требует дополнительной настройки на клиентах и передачи открытого ключа получателям. Данный вариант больше подходит для использования в частных случаях.

Использование утилит для удаленного доступа

Сотрудники часто применяют утилиты для удаленного доступа (remote access tools, RAT), например TeamViewer, Ammyy Admin, RMS. Если это разрешено внутренними политиками ИБ, то в случае, когда злоумышленник воспользуется этими же инструментами, отличить нелегитимное их использование от легитимного будет сложно.

Для обнаружения подключений через TeamViewer мы воспользовались в PT NAD фильтром по одноименному протоколу. В результате мы обнаружили две такие сетевые сессии. Если в организации запрещено использование утилит удаленного управления, то специалисту по ИБ стоит провести расследование, чтобы установить источник активности.

Еще один механизм выявления случаев использования RAT — предустановленные правила. На видео с их помощью мы обнаружили факт использования утилиты Remote Admin.

Подробнее на видео

Рекомендации по устранению нарушения:
  1. Контролировать использование утилит удаленного управления. Необходимо разработать регламенты ИБ, запрещающие несанкционированное использование утилит для удаленного управления, а также контролировать их соблюдение. Подключение RAT можно также запретить на уровне некоторых сетевых средств безопасности, например, NGFW.

  2. Разграничить права локальных пользователей на рабочих станциях. Если пользователям не будут выданы избыточные административные права, разрешающие в том числе установку программ на рабочие компьютеры, использование утилит будет невозможно.

  3. Ввести политику белых списков для ПО. Самый надежный, но трудоемкий метод решения. Ввести в организации белый список ПО и следить, что на всех узлах используется ПО только из этого списка, а также следить за актуальностью списка. Для настройки можно воспользоваться утилитой AppLocker, которая входит в состав Windows. Подробнее на сайте Microsoft.

Использование широковещательных протоколов LLMNR и NetBIOS

Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBIOS. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS-сервера. Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку типа человек посередине (англ. man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Мы попробовали выявить использование данных протоколов, воспользовавшись виджетом «Прикладные протоколы» в PT NAD. Мы обнаружили, что, кроме привычных протоколов, используются протоколы LLMNR и NBNS. Добавив их к фильтру, также обнаружили всех клиентов, которые отправляли запросы, используя данный протокол.

Подробнее на видео

Чтобы устранить эту ошибку, нужно:

1. Отключить LLMNR. Для этого необходимо предварительно на клиентах произвести настройку DNS. Произвести отключение LLMNR можно с помощью групповой политики Turn Off Multicast Name Resolution в разделе Computer Configuration -> Administrative Templates -> Network -> DNS Client. Для отключения значение политики должно быть выставлено в Enabled.

2. Отключить NetBIOS. Для этого необходимо воспользоваться оснасткой dhcpmgmt.msc. Server Options: Вкладка Advanced -> Microsoft Windows 2000 Options -> Microsoft Disable Netbios Option. Выставить значение 0x2.

3. Также поддержку NetBIOS можно отключить через запуск PowerShell-скрипта на узлах с помощью групповой политики Scripts в разделе Computer Configuration -> Policies-> Windows Settings. Требуется добавить startup PowerShell script с следующим содержимым:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"

Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Данный скрипт для всех сетевых адаптеров в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces установит значение параметра NetbiosOptions на 2.

Если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBIOS может сказаться на их работоспособности.

Ошибки конфигурирования сетей

Наиболее частые ошибки, связанные с неверным конфигурированием работы сети:

1. Излишне доверительные отношения между подсетями. Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.

2. Доступ узлов инфраструктуры ко внешним DNS-серверам. При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.

3. Открытые для внешней сети сетевые порты и сервисы без необходимости в этом (например, базы данных). Вследствие у злоумышленника появляются большие возможности для проведения атаки. Например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья.

Чтобы выявить такие ошибки, мы воспользовались вкладкой PT NAD «Сетевые связи». Все связи представлены в виде графа. Мы попробовали найти соединения из подсети DMZ в пользовательскую подсеть. Для этого настроили фильтр по подсетям. В результате мы обнаружили нежелательную сетевую связь, а также сработавшее событие — сканирование утилитой nmap, что служит индикатором проводившейся сетевой разведки.

Также мы попробовали найти связи из внешней сети к подсети DMZ. Проанализировали прикладные протоколы — увидели активное использование служебных протоколов, а также событие — попытку эксплуатации уязвимости EternalBlue, ставшей причиной нашумевшей эпидемии WannaCry.

Далее рассмотрели корректность работы DNS. Для этого отфильтровали трафик по протоколу и выбрали в качестве получателя IP-адреса не из локальной сети. В итоге обнаружили DNS-запросы к серверам Google, исходящие от сегмента пользователей.

Видео.

Устранить ошибки можно следующим образом:

  1. Настроить access control list (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями. ACL — это набор разрешающих или запрещающих правил для сетевого трафика (в контексте сетевого оборудования). В большинстве случаев списки доступа применяют для пакетной фильтрации на границе интернета и частной сети, однако фильтрация может также потребоваться на границе DMZ и других подсетей.

  2. Настроить межсетевой экран. Межсетевые экраны также должны быть настроены не только на границе с внешней сетью, но и между внутренними подсетями организации.

  3. Запретить изменения сетевых настроек пользователей. Для этого настройте параметр в групповых политиках Windows: User Configuration -> Administrative Templates -> Network -> Network Connections.

Сокрытие трафика

Инструментами сокрытия трафика могут быть VPN, Tor, шифрующие proxy и другие зашифрованные туннели. Их несанкционированное и неконтролируемое использование может привести к снижению эффективности средств защиты в организации; потере контроля за контентом, передаваемым в туннелированном трафике; злоумышленник может получить зашифрованный туннель во внутреннюю сеть организации, в случае компрометации домашнего компьютера сотрудника.

Для выявления использования этих средств вновь пригодятся фильтры: по репутационному списку tor-relays, который содержит актуальные адреса узлов сети Tor, а также фильтр по протоколу TLS, так как Tor маскируется под него. Использованный в подозрительной сессии TLS-сертификат является автоматически сгенерирован, что является индикатором соединения сети Tor.

Для обнаружения VPN и других туннелей можно воспользоваться фильтром по ключевому слову PPTP (Point-to-Point Protocol), а для обнаружения SOCKS5-трафика — уже знакомым нам фильтром по протоколу. Так мы нашли VPN-сессию с внешним хостом и множество подключений по SOCKS5.

Видео.

Методы решения данной проблемы мы уже рассматривали ранее, справиться поможет:

  1. разграничение прав локальных пользователей,

  2. политика белых списков для ПО,

  3. настройка сетевого экрана,

  4. закрытие сетевых портов.

Нецелевое использование систем

К нецелевому использованию систем относятся применение майнеров криптовалют, BitTorrent-клиентов, онлайн-игры. Несмотря на то, что это не создает непосредственных угроз безопасности, это увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО.

Выявить майнеры поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате мы видим большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором работы криптомайнера может служить сработавшие правила.

С BitTorrent и онлайн-играми все еще проще — для поиска торрент-трафика воспользуемся фильтром по протоколу BitTorrent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.

Видео.

Средства противодействия почти те же, что и в пунктах выше:

  1. разграничение прав локальных пользователей,

  2. политика белых списков для ПО,

  3. обновление антивируса и его базы.

В большинстве компаний мы замечаем проблемы с корректной настройкой обширных корпоративных сетей и несоблюдение конфигураций, политик и регламентов ИБ. Это связано с постоянным ростом сетей и изменениям внутри них, а также с изменениями в самих регламентах и политиках. Вот общие рекомендации, позволяющие избежать многие ошибки:

  1. минимизировать использование открытых протоколов,

  2. контролировать разграничение сетевого доступа,

  3. разграничивать права пользователей.

При этом на рынке уже есть инструменты, способные отслеживать сетевую активность внутри организации,
своевременно обнаруживать как ошибки настроек, так и активность
злоумышленников.


Безопасность сетей 802.11 — основные угрозы / Хабр

В последнее время тема Wi-Fi на Хабре набирает популярность, что не может не радовать. Однако некоторые важные аспекты, в частности, безопасность, все еще освещены довольно однобоко, что очень хорошо заметно по комментариям. Пару лет назад сокращенная версия нижеизложенного материала была опубликована в журнале "Компьютерное Обозрение". Думаю, читателям Хабра будет интересно и полезно с ним ознакомиться, тем более в полной и актуализированной версии. В первой статье обсуждаются основные угрозы. Во второй обсудим способы реализации защиты на основе WIPS
Введение

Популярность беспроводных локальных сетей уже прошла стадию взрывного роста и дошла до состояния «привычной всем» технологии. Домашние точки доступа и мини-роутеры Wi-Fi недороги и широкодоступны, хотспоты встречаются достаточно часто, ноутбук без Wi-Fi – анахронизм. Как и множество других инновационных технологий, использование беспроводных сетей влечет не только новые выгоды, но и новые риски. Бум Wi-Fi породил целое новое поколение хакеров, специализирующихся на изобретении всё новых и новых способов взлома беспроводки и атаки пользователей и корпоративной инфраструктуры. Ещё с 2004 года Gartner предупреждали, что безопасность WLAN будет одной из основных проблем – и прогноз оправдывается.

Беспроводная связь и мобильность, которую она дает, интересны и выгодны многим. Однако, до тех пор, пока вопрос беспроводной безопасности остается не до конца ясным, мнения разнятся кардинально: некоторые (например, операторы складов) уже сейчас не боятся завязывать на Wi-Fi свои ключевые бизнес-процессы, другие – наоборот баррикадируются и запрещают использование беспроводных элементов в своих сетях. Кто из них выбрал правильную стратегию? Является запрет Wi-Fi гарантией защиты от беспроводных угроз? И вообще – так ли опасен и ненадежен этот Wi-Fi, как о нем говорят? Ответ далеко не очевиден!

В данной статье мы рассмотрим:

  • в чем заключаются важные особенности беспроводной связи с точки зрения безопасности,
  • почему «неиспользование» или запрет Wi-Fi не спасает от беспроводных угроз,
  • какие новые риски следует рассматривать.
В чём заключаются особенности беспроводной связи с точки зрения безопасности?

Среда с общим доступом, которую практически невозможно контролировать

Традиционные проводные сети используют кабель для передачи информации. Кабель считается «контролируемой» средой, защищенной зданиями и помещениями, в которых он находится. Внешний «чужой» трафик, который входит в защищенный сегмент сети, фильтруется межсетевым экраном и анализируется системами IDS/IPS. Для того чтобы получить доступ к такому сегменту проводной сети, злоумышленнику необходимо преодолеть либо систему физической безопасности здания, либо межсетевой экран.

Беспроводные же сети используют радиоволны. Эфир – среда с общим доступом и практически полным отсутствием контроля. Обеспечить эквивалент физической безопасности проводных сетей здесь просто невозможно. Как только пользователь подключает к проводной сети точку доступа, её сигнал может проходить сквозь стены, межэтажные перекрытия, окна здания. Таким образом, подключенный сегмент сети становится доступным с другого этажа или даже из соседнего здания, парковки или другого конца улицы – радиосигнал может распространяться на сотни метров за пределы здания. Единственной физической границей беспроводной сети является уровень этого самого сигнала.
Поэтому, в отличие от проводных сетей, где точка подключения пользователя к сети хорошо определена и известна – это розетка в стене – в беспроводных сетях подключиться к сети можно откуда угодно, лишь бы сигнал был достаточной силы.
Также, эфир – среда с общим доступом. Все беспроводные устройства включены в один гигантский «хаб» (концентратор) – и любое беспроводное устройство может «видеть» всех беспроводных соседей в сети. При этом приемник, работающий в пассивном режиме (только прослушивание), вообще невозможно определить.


Периметр беспроводной сети не ограничен периметром здания.

Легкость в развертывании и мобильность

Благодаря усилиям поставщиков потребительского Wi-Fi оборудования, развернуть беспроводную сеть сейчас может даже самый неподготовленный пользователь. Комплект из недорогой точки доступа и беспроводного адаптера обойдется в $50-80. При этом большинство устройств поставляется уже настроенными по умолчанию, что позволяет сразу начинать с ними работу – даже не заглядывая в конфигурацию. Именно в такую сумму может обойтись умышленный или неумышленный взлом Вашей сети со стороны собственных же сотрудников, установивших без согласования собственную точку доступа и не позаботившихся об обеспечении надлежащей её безопасности.

Еще большей проблемой является то, что беспроводные пользователи по определению мобильны. Пользователи могут появляться и исчезать, менять свое местоположение, и не привязаны к фиксированным точкам входа, как в случае с проводными сетями – они могут находиться где угодно в зоне покрытия! Всё это значительно осложняет задачу «удержания непрошеных гостей за порогом» и отслеживания источников беспроводных атак.

Кроме того, такая важная составляющая мобильности, как роуминг, является еще одной проблемой обеспечения беспроводной безопасности. На этот раз – пользователей. В отличие от проводных сетей, где пользователь «привязан» кабелем к определенной розетке и порту коммутатора доступа – в беспроводных сетях пользователь не привязан ни к чему. С помощью специального ПО достаточно несложно «пересадить» его с авторизованной точки доступа на неавторизованную или даже на ноутбук злоумышленника, работающий в режиме Soft AP (программно реализованной точки доступа), открывая возможность для целого ряда атак на ничего не подозревающего пользователя.

Легко атаковать

Поскольку радиосигналы имеют широковещательную природу, не ограничены стенами зданий и доступны всем приемникам, местоположение которых сложно или вообще невозможно зафиксировать – злоумышленникам особенно легко и удобно атаковать беспроводные сети. Поэтому, формально, даже катающийся сейчас во дворе на велосипеде подросток со смартфоном в кармане может заниматься радиоразведкой вашей сети – чисто из юношеского любопытства. Огромное разнообразие готового инструментария анализа протоколов и уязвимостей, доступного в Интернете, точно также поможет ему чисто из любопытства найти точку доступа, которую какой-то из сотрудников недавно принес на работу и не удосужился переконфигурировать с настроек по умолчанию, чисто из любопытства в инструкции найдется ключ доступа к сети – и вуаля!


Традиционные средства защиты не спасают от новых классов атак

Шесть основных беспроводных рисков

Итак, беспроводные технологии, работающие без физических и логических ограничений своих проводных аналогов, значительно повышающие гибкость рабочего процесса и эффективность труда пользователей, снижающие затраты на развертывание сетей, также подвергают сетевую инфраструктуру и пользователей значительным рискам. Для того, чтобы понять, как обеспечить безопасное функционирование беспроводных сетей, давайте рассмотрим их поближе.
Риск первый — Чужаки (Rogue Devices, Rogues)

Чужаками называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это те самые самовольно установленные точки доступа. Статистика по всему миру, например, указывает на чужаков, как на причину большинства взломов сетей организаций. Даже если организация не использует беспроводную связь и считает себя в результате такого запрета защищенной от беспроводных атак – внедренный (умышленно или нет) чужак с легкостью исправит это положение. Доступность и дешевизна устройств Wi-Fi привели к тому, что в США, например, практически каждая сеть с числом пользователей более 50 успела ознакомиться с данным феноменом.
Помимо точек доступа в роли чужака могут выступить домашний роутер с Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсом, сканер, проектор и т.д.


Беспроводным угрозам подвержены и те, кто не использует Wi-Fi. За $50 можно [не]умышленно создать дырку в системе защиты за $50 000.

Риск второй — нефиксированная природа связи

Как уже было сказано выше – беспроводные устройства не «привязаны» кабелем к розетке и могут менять точки подключение к сети прямо в процессе работы. К примеру, могут происходить «Случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не ведающего пользователя для последующего сканирования уязвимостей, фишинга или атак Man-in-The-Middle. Кроме того, если пользователь одновременно подключен и к проводной сети – он только что стал удобной точкой входа – т.е. классическим чужаком.

Также, многие пользователи устройств ноутбуков, оснащенные Wi-Fi и проводными интерфейсами и не довольные качеством работы проводной сети (медленно, злой админ поставил фильтрацию URL, не работает ICQ), любят переключаться на ближайших доступный хотспот (или ОС делает это для них автоматически в случае, например, отказа проводной сети). Излишне говорить, что в таком случае все потуги ИТ-отдела по обеспечению сетевой безопасности остаются в буквальном смысле «за бортом».

Сети Ad-Hoc – непосредственные одноранговые соединения между беспроводными устройствами без участия точек доступа – являются удобным способом быстро перебросить файл коллеге или распечатать нужный документ на принтере с Wi-Fi. Однако, такой способ организации сети не поддерживает большинство необходимых методом обеспечения безопасности, предоставляя злоумышленникам легкий путь к взлому компьютеров пользователей сетей Ad-Hoc. Доступные с недавнего времени технологии VirtualWiFi и Wi-Fi Direct только усугубляют ситуацию.

Риск третий — уязвимости сетей и устройств

Некоторые сетевые устройства, могут быть более уязвимы, чем другие – могут быть неправильно сконфигурированы, использовать слабые ключи шифрования или методы аутентификации с известными уязвимостями. Неудивительно, что в первую очередь злоумышленники атакуют именно их. Отчеты аналитиков утверждают, что более 70 процентов успешных взломов беспроводных сетей произошли именно в результате неправильной конфигурации точек доступа или клиентского ПО.
Некорректно сконфигурированные точки доступа

Одна-единственная некорректно сконфигурированная точка доступа (в т.ч. чужак) может послужить причиной взлома корпоративной сети. Настройки по умолчанию большинства точек доступа не включают аутентификацию или шифрование, либо используют статические ключи, записанные в руководстве и потому общеизвестные. В сочетании с невысокой ценой точек доступа этот фактор значительно осложняет задачу слежения за целостностью конфигурации беспроводной инфраструктуры и уровнем ее защиты. Сотрудники организации могут самовольно приносить точки доступа и подключать их куда заблагорассудится. При этом маловероятно, что они уделят достаточно внимания их грамотной и безопасной конфигурации и согласуют свои действия с ИТ-отделом. Именно такие точки и создают наибольшую угрозу проводным и беспроводным сетям.
Некорректно сконфигурированные беспроводные клиенты

Некорректно сконфигурированные устройства пользователей предоставляют угрозу еще большую, чем некорректно сконфигурированные точки доступа. Эти устройства буквально приходят и уходят с предприятия, часто они не конфигурируются специально с целью минимизации беспроводных рисков и довольствуются конфигурацией по умолчанию (которая, по умолчанию, не может считаться безопасной). Такие устройства оказывают неоценимую помощь хакерам в их деле проникновения в проводную сеть, обеспечивая удобную точку входа для сканирования сети и распространения в ней вредоносного ПО.
Взлом шифрования

Злоумышленникам давно доступны специальные средства для взлома сетей, основывающихся на стандарте шифрования WEP (см риск 4). Эти инструменты широко освещены в Интернет и не требуют особых навыков для применения. Они используют уязвимости алгоритма WEP, пассивно собирая статистику трафика в беспроводной сети до тех пор, пока собранных данных не окажется достаточно для восстановления ключа шифрования. С использованием последнего поколения средств взлома WEP, использующих специальные методы инъекции трафика, срок «до тех пор» колеблется от 15 мин до 15 сек. Аналогично, есть уязвимости разной степени опасности и сложности, позволяющие ломать TKIP и даже WPA2. Единственным «непробиваемым» методом пока что остается использование WPA2-Enterprise (802.1x) с хотя бы серверными сертификатами.
Риск четвертый — новые угрозы и атаки

Беспроводные технологии породили новые способы реализации старых угроз, а также некоторые новые, доселе невозможные в проводных сетях. Во всех случаях, бороться с атакующим стало гораздо тяжелее, т.к. невозможно ни отследить его физическое местоположение, ни изолировать его от сети.
Разведка

Большинство традиционных атак начинаются с разведки, в результате которой злоумышленником определяются дальнейшие пути развития атаки. Для беспроводной разведки используются как средства сканирования беспроводных сетей (NetStumbler, Wellenreiter, встроенный клиент JC), так и средства сбора и анализа пакетов, т.к. многие управляющие пакеты WLAN незашифрованы. При этом очень сложно отличить станцию, собирающую информацию, от обычной станции, пытающейся получить авторизованный доступ к сети или от попытки случайной ассоциации.
Многие пытаются защитить свои сети путем сокрытия названия сети в маячках (Beacon), рассылаемых точками доступа, и путем отключения ответа на широковещательный запрос ESSID (Broadcast ESSID). Эти методы, относящиеся к классу Security through Obscurity, общепризнанно являются недостаточными, т.к. атакующий все равно видит беспроводную сеть на определенном радиоканале, и всё, что ему остается – это ждать первого авторизованного подключения к такой сети, т.к. в процессе такого подключения в эфире передается ESSID в незашифрованном виде. После чего такая мера безопасности просто теряет смысл. Некоторые особенности беспроводного клиента Windows XP SP2 (поправленные в SP3) ещё более усугубляли ситуацию, т.к. клиент постоянно рассылал имя такой скрытой сети в эфир, пытаясь подключиться. В результате, злоумышленник не только получал имя сети, но и мог «подсадить» такого клиента на свою точку доступа.
Имперсонация и Identity Theft

Имперсонация авторизованного пользователя – серьезная угроза любой сети, не только беспроводной. Однако в беспроводной сети определить подлинность пользователя сложнее. Конечно, существуют SSID и можно пытаться фильтровать по MAC-адресам, но и то и другое передается в эфире в открытом виде, и то и другое несложно подделать, а подделав – как минимум «откусить» часть пропускной способности сети, вставлять неправильные фреймы с целью нарушения авторизованный коммуникаций, а расколов хоть чуть-чуть алгоритмы шифрования – устраивать атаки на структуру сети (например, ARP Poisoning, как в случае с недавно обнаруженной уязвимостью TKIP). Не говоря уже в взломе WEP, рассмотренном пунктом выше!
Существует ложное убеждение, что имперсонация пользователя возможна только в случае MAC-аутентификации или использования статических ключей, что схемы на основе 802.1x, являются абсолютно безопасными. К сожалению, это уже давно не так. Некоторые механизмы (LEAP) взламываются не сложнее WEP. Другие схемы, например, EAP-FAST или PEAP-MSCHAPv2 являются более надежными, но не гарантируют устойчивости к комплексной атаке, использующей несколько факторов одновременно.
Отказы в обслуживании (Denial of Service, DoS)

Задачей атаки «Отказ в обслуживании» является либо нарушение показателей качества функционирования сетевых услуг, либо полная ликвидация возможности доступа к ним для авторизованных пользователей. Для этого, к примеру, сеть может быть завалена «мусорными» пакетами (с неправильной контрольной суммой и т.д.), отправленными с легитимного адреса. В случае беспроводной сети отследить источник такой атаки без специального инструментария просто невозможно, т.к. он может находиться где угодно. Кроме того, есть возможность организовать DoS на физическом уровне, просто запустив достаточно мощный генератор помех в нужном частотном диапазоне.
Специализированные инструменты атакующего

Инструментарий для организации атак на беспроводные сети широко доступен и постоянно пополняется новыми средствами, начиная от всеми известного AirCrack и заканчивая облачными сервисами по расшифровке хешей. Плюс, как только получен доступ — в ход идет традиционный инструментарий более высоких уровней.
Риск пятый — утечки информации из проводной сети

Практически все беспроводные сети в какой-то момент соединяются с проводными. Соответственно, любая беспроводная точка доступа может быть использована как плацдарм для атаки. Но это еще не все: некоторые ошибки в конфигурации точек доступа в сочетании с ошибками конфигурации проводной сети могут открывать пути для утечек информации. Наиболее распространенный пример – точки доступа, работающие в режиме моста (Layer 2 Bridge), подключенные в плоскую сеть (или сеть с нарушениями сегментации VLAN) и передающие в эфир широковещательные пакеты из проводного сегмента, запросы ARP, DHCP, фреймы STP и т.д. Некоторые из этих данных могут быть полезными для организаций атак Man-in-The-Middle, различных Poisoning и DoS атак, да и просто разведки.
Другой распространенный сценарий основывается на особенностях реализации протоколов 802.11. В случае, когда на одной точке доступа настроены сразу несколько ESSID, широковещательный трафик будет распространятся сразу во все ESSID. В результате, если на одной точке настроена защищенная сеть и публичный хот-спот, злоумышленник, подключенный к хот-споту, может, например, нарушить работу протоколов DHCP или ARP в защищенной сети. Это можно исправить, организовав грамотную привязку ESS к BSS, что поддерживается практически всеми производителями оборудования класса Enterprise (и мало кем из класса Consumer), но об этом нужно знать.
Риск шестой — особенности функционирования беспроводных сетей

Некоторые особенности функционирования беспроводных сетей порождают дополнительные проблемы, способные влиять в целом на их доступность, производительность, безопасность и стоимость эксплуатации. Для грамотного решения этих проблем требуется специальный инструментарий поддержки и эксплуатации, специальные механизмы администрирования и мониторинга, не реализованные в традиционном инструментарии управления беспроводными сетями.
Активность в нерабочее время

Поскольку беспроводные сети не ограничиваются пределами помещений, как проводные, подключиться к ним можно в любом месте и в любое время. Из-за этого, многие организации ограничивают доступность беспроводных сетей в своих офисах исключительно рабочими часами (вплоть до физического отключения точек доступа). В свете сказанного, естественно предположить, что всякая беспроводная активность в сети в нерабочее время должна считаться подозрительной и подлежать расследованию.
Скорости

Точки доступа, разрешающие подключения на низких скоростях, позволяют подключения на большей дальности. Таким образом, они представляют дополнительную возможность безопасного удаленного взлома. Если в офисной сети, где все работают на скоростях 24/36/54 Мбит/с вдруг появляется соединение на 1 или 2 Мбит/с – это может быть сигналом, что кто-то пытается пробиться в сеть с улицы. Картинку уже приводил. Подробнее про медленные скорости здесь (п 3.1).
Интерференция

Поскольку беспроводные сети используют радиоволны, качество работы сети зависит от многих факторов. Наиболее ярким примером является интерференция радиосигналов, способная значительно ухудшить показатели пропускной способности и количества поддерживаемых пользователей, вплоть до полной невозможности использования сети. Источником интерференции может быть любое устройство, излучающее сигнал достаточной мощности в том же частотном диапазоне, что и точка доступа: от соседних точек доступа у условиях густонаселенного офисного центра, до электромоторов на производстве, гарнитур Bluetooth и даже микроволновок. С другой стороны, злоумышленники могут использовать интерференцию для организации DoS атаки на сеть.
Чужаки, работающие на том же канале, что и легитимные точки доступа, открывают не только доступ в сеть, но и нарушают работоспособность «правильной» беспроводной сети. Кроме того, для реализации атак на конечных пользователей и для проникновения в сеть с помощью атаки Man-In-The Middle злоумышленники часто заглушают точки доступа легитимной сети, оставляя только одну — свою точку доступа с тем же самым именем сети.
Связь

Помимо интерференции, существуют другие аспекты, влияющие на качество связи в беспроводных сетях. Поскольку беспроводная среда является средой с общим доступом, каждый неверно сконфигурированный клиент, или сбоящая антенна точки доступа могут создавать проблемы, как на физическом, так и на канальном уровне, приводя к ухудшению качества обслуживания остальных клиентов сети.
Что делать?

Итого, беспроводные сети порождают новые классы рисков и угроз, от которых невозможно защититься традиционными проводными средствами. Даже если в организации формально запрещен Wi-Fi – это еще не значит, что кто-нибудь из пользователей не установит чужака и сведет этим все вложения в безопасность сети к нулю. Кроме того, ввиду особенностей беспроводной связи, важно контролировать не только безопасность инфраструктуры доступа, но и следить за пользователями, которые могут стать объектом атаки злоумышленника либо просто могут случайно или умышленно перейти с корпоративной сети на незащищенное соединение.

Хорошей новостью, после столь депрессивного изложения, является то, что большинство перечисленных рисков могут быть минимизированы или вообще сведены к нулю. Для организации безопасной работы беспроводной сети (включая инфраструктуру и пользователей) используется подход, в целом совпадающий с подходом «многоуровневой безопасности», применяющимся для традиционных проводных сетей (с поправкой на специфику WLAN). Но это тема для отдельной статьи не меньшего объема, которая последует позже.

12 образовательных ресурсов для изучения основ безопасности сети

В этой статье пойдет речь об изучении основ безопасности сети и способах получения дополнительной полезной информации об этой сфере деятельности.

Почему именно сетевая безопасность?

На данный момент большинство организаций в значительной степени полагаются на компьютерные сети для эффективного и продуктивного обмена информацией. Организационные компьютерные сети в наши дни очень велики, если предположить, что каждый сотрудник имеет отдельное рабочее место. В крупной компании количество таких мест может превышать отметку в 1000 отдельных пользователей одной сети.

Вполне вероятно, что эти «рабочие станции» не управляются централизованно или у них есть необходимые параметры защиты. Организации используют различные операционные системы, аппаратное и программное обеспечение, а также протоколы для обеспечения безопасности своих пользователей.

Можно представить, что эти тысячи пользователей в сети компании напрямую подключены к интернету. Такого рода незащищенные сети становятся мишенью для атак. В них содержится конфиденциальная информация и секретные данные. Обеспечение сетевой безопасности поможет решить такого рода проблемы.

Что такое безопасность в сети?

Сетевая безопасность включает в себя политики и методы, принятые для предотвращения и мониторинга несанкционированного доступа, изменения или отказа в доступе к компьютерной сети и сетевым ресурсам.

Авторизация доступа к данным в сети осуществляется службой сетевой безопасности, которая контролируется администратором или инженером по сетевой безопасности.

Сетевая безопасность охватывает транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными, например, работающими внутри компании, или открытыми для общего доступа. Безопасность должна быть обеспечена в обоих случаях.

Ниже приведены некоторые из инструментов для обеспечения сетевой безопасности:

  • Межсетевые экраны
  • Обеспечение безопасности электронной почты
  • Антивирус
  • Сегментация сети
  • Контроль доступа
  • Безопасность приложений
  • Предотвращение потери данных
  • Обнаружение предотвращения вторжений
  • Беспроводная безопасность
  • Веб-безопасность
  • VPN

Сетевая безопасность в эпоху использования облачных ресурсов

Ранее организации использовали для хранения своих данных локальные хранилища. Сейчас большинство фирм применяют облачные технологии.

Облачные вычисления трансформируют способ ведения бизнеса, делая его более эффективным и экономичным. Но они также делают компании уязвимыми для новых типов кибератак. Если хакер сможет получить доступ к сетям через облако, это может нанести серьезный ущерб организации.

Вероятность таких атак достаточно высока. Даже частота кражи данных хакерами уже выросла в разы.

Следовательно, облачная безопасность очень важна, и сетевая безопасность является ее неотъемлемой частью.

Чем занимается инженер по сетевой безопасности?

Как можно догадаться, инженер по сетевой безопасности выполняет очень важную роль в организации. Он устанавливает и следит за программным обеспечением, включая инструменты для шифрования данных, брандмауэры, VPN и т.д.

Кроме того, данный специалист отвечает за разработку и выполнение планов по методам восстановления данных и систем, подвергшихся кибератакам. Он всегда должен быть в курсе последних тенденций сетевых технологий для предотвращения нападений мошенников.

Стоит ли этому учиться?

В США инженер по сетевой безопасности зарабатывает в среднем $115 000 в год.

Эта зарплата варьируется в зависимости от опыта. Если, к примеру, у человека есть десятилетний опыт работы в IT, тогда он может зарабатывать даже более $150 000 в год в Америке. Подробнее о зарплатах за рубежом можно почитать, перейдя по ссылке.

Где научиться сетевой безопасности?

Есть много онлайн-ресурсов для изучения сетевой безопасности в удобное для человека время. Хорошая новость заключается в том, что не все они стоят дорого.

1.     Cybersecurity Fundamental

Специализированная программа для изучения основ, ознакомления с различными инструментами и понимания концепции облачной безопасности. Этот курс предлагается IBM на ресурсе Coursera.

Coursera – это образовательный «онлайн-рынок», где каждый сможет найти себе что-то по душе.

2.     Complete Cyber Security

Хорошее сочетание практических курсов по сетевой безопасности. Доступно на Udemy и направлено на то, чтобы научить человека всему, что он должен знать как специалист по кибербезопасности. Пользователь также будет иметь полное понимание того, что такое сетевая безопасность.

Курсы Udemy доступны на любых устройствах, включая мобильные телефоны, что означает, что человек может учиться даже в дороге.

3.     edX

edX – это очень популярный ресурс. Он предоставляет пользователям онлайн-курсы из более чем 140 учебных заведений, включая Гарвард, Массачусетский технологический институт, Нью-Йоркский университет. На момент написания статьи есть шесть соответствующих курсов.

4.     Network Penetration Testing

Бесплатный способ для начинающих изучить пентестинг.

В видео рассказывается о многих вещах, среди которых:

  • Passive OSINT
  • Scanning Tools
  • Enumeration
  • Exploitation
  • Shells
  • Credential Stuffing
  • Building an AD Lab
  • LLMNR Poisoning
  • NTLMv2 Cracking with Hashcat
  • NTLM Relay
  • Token Impersonation
  • Pass the Hash
  • PsExec

freeCodeCamp – это известный некоммерческий YouTube-канал для технарей с более, чем 2 млн подписчиков. Это некое сообщество с открытым исходным кодом и большим количеством бесплатных ресурсов.

5.     CBT Nuggets

CBT Nuggets сняли множество полезных видео на своем канале YouTube. Их контент информативен, доступен и интересен. Есть два плейлиста, на которые стоит обратить свое внимание.

Intro to Networking

Intro to Cybersecurity

6.     Defensive Security

Defensive Security Handbook – это одна из самых рекомендуемых за рубежом книг по сетевой безопасности. В ней содержатся пошаговые инструкции для решения конкретной проблемы, что включает в себя сетевую инфраструктуру и управление паролями, нарушения и ошибки, соответствие требованиям, сканирование уязвимостей.

7.     CompTIA Network +

CompTIA Network+ , разработанная Mike Meyers, – это одна из основополагающих книг, которая поможет углубленно изучить сетевую безопасность и сдать экзамен CompTIA Network+ с первой попытки.

Она содержит четкие инструкции и реальные примеры с сотнями практических вопросов, подготовленных автором вместе с несколькими IT-экспертами.

8.     Cisco Blogs

Для любителей читать блоги статьи по безопасности от компании Cisco станут настоящей находкой. Многие влиятельные личности и эксперты по безопасности делятся своими знаниями, чтобы человек смог всегда быть в курсе последних новинок.

9.     Cybrary

Cybrary – это онлайн-портал для обучения и начала карьеры в области кибербезопасности. Есть два подходящих курса:

Cyber Network Security – охватывает основные знания, необходимые сетевые приложения, проектирование сетей, компоненты защиты, брандмауэр.

Network Security – для начинающих; охватывает основы TCP/IP, сканирование портов, снифинг, брандмауэр, honeypot, сетевой дизайн.

10. CCNP

Cisco CCNP ENCOR (350-401): 2 курса по сетевой безопасности, которые были разработаны Kevin Wallace.

11.  Cybersecurity Certification

Этот курс доступен на Edureka. Он обеспечивает живое обучение под руководством инструктора с технической поддержкой 24 на 7.

Cybersecurity Certification Course поможет создать прочную основу для путешествия в области кибербезопасности. Ниже приведены модули, изучаемые в этом курсе:

  • Основы безопасности
  • Криптография
  • Компьютерные сети и безопасность
  • Безопасность приложений
  • Безопасность данных и конечных точек
  • Управление идентификацией и доступом
  • Облачная безопасность
  • Фазы кибер-присоединения
  • Процесс обеспечения безопасности
12. CISSP

Курс от Certified Information Systems Security Professional (CISSP), разработанный Simplilearn, охватывает все области IT-безопасности, так что человек может стать настоящим профессионалом в сфере информационной безопасности.

В курс входят следующие дисциплины:

  • Безопасность и управление рисками
  • Безопасность активов
  • Безопасность эксплуатации
  • Тестирование безопасности
  • Сетевая и веб-безопасность
  • Безопасность разработки программного обеспечения

Заключение

Навыки в сфере сетевой безопасности востребованы сейчас, и специальные ресурсы помогут человеку увеличить свои знания и найти высокооплачиваемую работу.

Автор переведенной статьи: Avi.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Сетевая безопасность - сетевой уровень

Элементы управления сетевым уровнем часто используются для защиты связи, особенно в общих сетях, таких как Интернет, поскольку они могут обеспечить защиту для многих приложений одновременно, не изменяя их.

В предыдущих главах мы обсуждали, что для обеспечения безопасности сети были разработаны многие протоколы безопасности в режиме реального времени, обеспечивающие основные принципы безопасности, такие как конфиденциальность, аутентификация источника, целостность сообщения и отказ от авторства.

Большинство из этих протоколов оставались сфокусированными на более высоких уровнях стека протоколов OSI, чтобы компенсировать внутреннее отсутствие безопасности в стандартном интернет-протоколе. Несмотря на свою ценность, эти методы не могут быть легко обобщены для использования с любым приложением. Например, SSL разработан специально для защиты приложений, таких как HTTP или FTP. Но есть несколько других приложений, которые также нуждаются в безопасной связи.

Эта потребность привела к разработке решения безопасности на уровне IP, чтобы все протоколы более высокого уровня могли использовать его в своих интересах. В 1992 году Инженерная рабочая группа по Интернету (IETF) начала определять стандарт «IPsec».

В этой главе мы обсудим, как достигается безопасность на сетевом уровне с использованием этого очень популярного набора протоколов IPsec.

Безопасность на сетевом уровне

Любая схема, разработанная для обеспечения безопасности сети, должна быть реализована на некотором уровне стека протоколов, как показано на диаграмме ниже —

Слой Протоколы связи Протоколы безопасности
Уровень приложений HTTP FTP SMTP PGP. S / MIME, HTTPS
Транспортный уровень TCP / UDP SSL, TLS, SSH
Сетевой уровень IP IPsec

Популярной платформой, разработанной для обеспечения безопасности на сетевом уровне, является Internet Protocol Security (IPsec).

Особенности IPsec

  • IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

  • IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

  • Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

  • IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

  • Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

  • Наиболее распространенное использование IPsec — предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

Наиболее распространенное использование IPsec — предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

Функции безопасности

Важными функциями безопасности, предоставляемыми IPsec, являются:

  • конфиденциальность

  • Аутентификация источника и целостность данных.

    • Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

    • Подтверждает, что пакет не был изменен или иным образом.

  • Ключевой менеджмент.

    • Позволяет безопасный обмен ключами.

    • Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

конфиденциальность

Позволяет узлам связи шифровать сообщения.

Предотвращает подслушивание третьими лицами.

Аутентификация источника и целостность данных.

Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

Подтверждает, что пакет не был изменен или иным образом.

Ключевой менеджмент.

Позволяет безопасный обмен ключами.

Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

Виртуальная частная сеть

В идеале любое учреждение хотело бы иметь собственную частную сеть связи для обеспечения безопасности. Однако создание и поддержка такой частной сети на территориально распределенной территории может быть очень дорогостоящим. Это потребует управления сложной инфраструктурой каналов связи, маршрутизаторов, DNS и т. Д.

IPsec предоставляет простой механизм для реализации Виртуальной частной сети (VPN) для таких учреждений. Технология VPN позволяет отправлять межучрежденческий трафик учреждения через общедоступный Интернет, шифруя трафик перед входом в общедоступный интернет и логически отделяя его от другого трафика. Упрощенная работа VPN показана на следующей диаграмме —

Виртуальная частная сеть

Обзор IPsec

IPsec — это структура / набор протоколов для обеспечения безопасности на уровне IP.

происхождения

В начале 1990-х Интернет использовался немногими учреждениями, в основном для академических целей. Но в последующие десятилетия рост Интернета стал экспоненциальным из-за расширения сети и нескольких организаций, использующих его для связи и других целей.

В связи с массовым ростом Интернета в сочетании с внутренними слабостями безопасности протокола TCP / IP возникла потребность в технологии, которая может обеспечить безопасность сети в Интернете. В 1994 году Советом по архитектуре Интернета (IAB) был выпущен доклад под названием «Безопасность в архитектуре Интернета». В нем были определены ключевые области для механизмов безопасности.

IAB включал аутентификацию и шифрование в качестве основных функций безопасности в IPv6, IP следующего поколения. К счастью, эти возможности безопасности были определены так, что они могут быть реализованы как с текущим IPv4, так и с футуристическим IPv6.

Структура безопасности, IPsec была определена в нескольких «Запросы на комментарии» (RFC). Некоторые RFC определяют некоторые части протокола, в то время как другие рассматривают решение в целом.

Операции внутри IPsec

Можно считать, что пакет IPsec имеет две отдельные операции, выполняемые в унисон, обеспечивая полный набор служб безопасности. Этими двумя операциями являются IPsec Communication и Internet Key Exchange.

IPsec связь

Обычно это связано со стандартной функциональностью IPsec. Он включает в себя инкапсуляцию, шифрование и хеширование IP-дейтаграмм и обработку всех процессов пакетов.

Он отвечает за управление связью в соответствии с доступными Ассоциациями безопасности (SA), установленными между связывающимися сторонами.

Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).

Связь IPsec не участвует в создании ключей или управлении ими.

Сама операция связи IPsec обычно называется IPsec.

Обмен ключами в Интернете (IKE)

IKE — это протокол автоматического управления ключами, используемый для IPsec.

Технически, управление ключами не является существенным для связи IPsec, и ключи могут управляться вручную. Однако ручное управление ключами нежелательно для больших сетей.

IKE отвечает за создание ключей для IPsec и обеспечение аутентификации во время процесса установки ключей. Хотя IPsec можно использовать для любых других протоколов управления ключами, IKE используется по умолчанию.

IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Management Association Key Management Protocol (ISAKMP).

ISAKMP не является специфичным для IPsec, но обеспечивает основу для создания SA для любого протокола.

В этой главе в основном обсуждается связь IPsec и связанный с ней протокол, используемый для достижения безопасности.

Режимы связи IPsec

IPsec Communication имеет два режима работы; транспортные и туннельные виды транспорта. Эти режимы могут использоваться в комбинации или индивидуально, в зависимости от желаемого типа связи.

Транспортный режим

  • IPsec не инкапсулирует пакет, полученный от верхнего уровня.

  • Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

  • Следующая диаграмма показывает поток данных в стеке протоколов.

IPsec не инкапсулирует пакет, полученный от верхнего уровня.

Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

Следующая диаграмма показывает поток данных в стеке протоколов.

Транспортный режим

  • Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Двухточечная связь

Туннельный режим

  • Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

  • При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

  • Следующая диаграмма показывает поток данных в стеке протоколов.

Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

Следующая диаграмма показывает поток данных в стеке протоколов.

Туннельный режим

  • Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

  • Типичная связь в туннельном режиме показана на следующей диаграмме.

Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

Типичная связь в туннельном режиме показана на следующей диаграмме.

Типичная связь в туннельном режиме

  • Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

  • Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Режим туннелирования с использованием IPsec

Протоколы IPsec

IPsec использует протоколы безопасности для предоставления желаемых услуг безопасности. Эти протоколы являются основой операций IPsec, а все остальное предназначено для поддержки этих протоколов в IPsec.

Ассоциации безопасности между связывающимися объектами устанавливаются и поддерживаются используемым протоколом безопасности.

IPsec определяет два протокола безопасности — заголовок аутентификации (AH) и инкапсулированная полезная нагрузка (ESP).

Заголовок аутентификации

Протокол AH обеспечивает услугу целостности данных и аутентификации источника. Опционально обслуживает устойчивость к воспроизведению сообщений. Тем не менее, это не обеспечивает никакой формы конфиденциальности.

AH — это протокол, который обеспечивает аутентификацию всего или части содержимого дейтаграммы путем добавления заголовка. Заголовок рассчитывается на основе значений в дейтаграмме. Какие части дейтаграммы используются для расчета и где разместить заголовок, зависит от режима взаимодействия (туннель или транспорт).

Работа протокола AH удивительно проста. Его можно считать похожим на алгоритмы, используемые для вычисления контрольных сумм или выполнения проверок CRC для обнаружения ошибок.

Концепция AH та же, за исключением того, что вместо простого алгоритма AH использует специальный алгоритм хеширования и секретный ключ, известный только взаимодействующим сторонам. Установлена ​​ассоциация безопасности между двумя устройствами, которая определяет эти особенности.

Процесс АГ проходит следующие фазы.

  • Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

  • Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

Заголовок аутентификации

  • Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

  • Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

  • Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

  • В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

Ip Packet Transmission1

В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.

Ip Packet Transmission2

Протокол безопасности инкапсуляции (ESP)

ESP предоставляет услуги безопасности, такие как конфиденциальность, целостность, аутентификация источника и дополнительное сопротивление воспроизведению. Набор предоставляемых услуг зависит от параметров, выбранных во время создания Ассоциации безопасности (SA).

В ESP алгоритмы, используемые для шифрования и генерации аутентификатора, определяются атрибутами, используемыми для создания SA.

Процесс ESP заключается в следующем. Первые два шага аналогичны процессу АГ, как указано выше.

  • Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

Расположение ESP

Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.

Аутентификация шифрования в транспортном режиме

В случае туннельного режима процесс шифрования и аутентификации описан на следующей диаграмме.

Аутентификация в режиме туннельного шифрования

Хотя аутентификация и конфиденциальность являются основными услугами, предоставляемыми ESP, оба являются необязательными. Технически, мы можем использовать NULL-шифрование без аутентификации. Однако на практике один из двух должен быть реализован для эффективного использования ESP.

Основная концепция заключается в использовании ESP, когда требуется аутентификация и шифрование, и использовании AH, когда требуется расширенная аутентификация без шифрования.

Ассоциации безопасности в IPsec

Ассоциация безопасности (SA) является основой связи IPsec. Особенности SA —

  • Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

  • IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

  • SA — это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

  • SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

  • SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

  • Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

SA — это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Параметры SA

Любой SA однозначно идентифицируется следующими тремя параметрами:

  • Индекс параметров безопасности (SPI).

    • Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

    • Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

    • SPI — это случайное число, генерируемое отправителем для идентификации SA для получателя.

  • IP-адрес назначения — это может быть IP-адрес конечного маршрутизатора.

  • Идентификатор протокола безопасности — указывает, является ли ассоциация AH или ESP SA.

Индекс параметров безопасности (SPI).

Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

SPI — это случайное число, генерируемое отправителем для идентификации SA для получателя.

IP-адрес назначения — это может быть IP-адрес конечного маршрутизатора.

Идентификатор протокола безопасности — указывает, является ли ассоциация AH или ESP SA.

Пример SA между двумя маршрутизаторами, участвующими в обмене IPsec, показан на следующей диаграмме.

Параметры SA

Безопасность административных баз данных

В IPsec есть две базы данных, которые контролируют обработку дейтаграммы IPsec. Одна — это база данных ассоциации безопасности (SAD), а другая — база данных политики безопасности (SPD). Каждая связывающая конечная точка, использующая IPsec, должна иметь логически раздельные SAD и SPD.

База данных Ассоциации безопасности

В связи IPsec конечная точка содержит состояние SA в базе данных ассоциации безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:

Sr.No. Параметры и описание
1

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

2

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

3

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

4

Время жизни СА

Время, пока SA остаются активными

5

Алгоритм — АХ

Используется в AH и связанном ключе

6

Алгоритм — ESP Auth

Используется в части аутентификации заголовка ESP

7

Алгоритм — Шифрование ESP

Используется при шифровании ESP и информации о связанном ключе

8

Режим работы IPsec

Транспортный или туннельный режим

9

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

Время жизни СА

Время, пока SA остаются активными

Алгоритм — АХ

Используется в AH и связанном ключе

Алгоритм — ESP Auth

Используется в части аутентификации заголовка ESP

Алгоритм — Шифрование ESP

Используется при шифровании ESP и информации о связанном ключе

Режим работы IPsec

Транспортный или туннельный режим

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Все записи SA в SAD индексируются тремя параметрами SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.

База данных политики безопасности

SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если запись SAD не существует, SPD используется для создания новых.

Любая запись SPD будет содержать —

  • Указатель на активную SA проводится в SAD.

  • Поля селектора — поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Указатель на активную SA проводится в SAD.

Поля селектора — поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Исходящие IP-дейтаграммы идут от записи SPD к конкретному SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильный SA напрямую, используя тройку SPI / DEST IP / Protocol, и оттуда извлекает соответствующую запись SAD.

SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия, связанные с активацией процессов SA.

Резюме

IPsec — это набор протоколов для защиты сетевых подключений. Это довольно сложный механизм, потому что вместо простого определения конкретного алгоритма шифрования и функции аутентификации, он обеспечивает структуру, которая позволяет реализовать все, с чем согласны обе стороны.

Заголовок аутентификации (AH) и полезная нагрузка инкапсуляции безопасности (ESP) являются двумя основными протоколами связи, используемыми IPsec. В то время как AH только аутентифицируется, ESP может шифровать и аутентифицировать данные, передаваемые по соединению.

Транспортный режим обеспечивает безопасное соединение между двумя конечными точками без изменения заголовка IP. Туннельный режим инкапсулирует весь IP-пакет полезной нагрузки. Добавляет новый заголовок IP. Последний используется для формирования традиционной VPN, поскольку он обеспечивает виртуальный безопасный туннель через ненадежный Интернет.

Настройка соединения IPsec включает в себя все виды крипто-выбора. Аутентификация обычно строится поверх криптографического хэша, такого как MD5 или SHA-1. Алгоритмы шифрования — это DES, 3DES, Blowfish и AES. Возможны и другие алгоритмы.

Обе взаимодействующие конечные точки должны знать секретные значения, используемые при хешировании или шифровании. Ручные ключи требуют ручного ввода секретных значений на обоих концах, предположительно передаваемых каким-либо внеполосным механизмом, и IKE (Internet Key Exchange) является сложным механизмом для этого в режиме онлайн.

Что такое сетевая безопасность | Основы сетевой безопасности

Мы живем в век информации. В наши дни предприятия более развиты в цифровом виде, чем когда-либо, и по мере совершенствования технологий необходимо повысить уровень безопасности организаций. Теперь, когда многие устройства взаимодействуют друг с другом по проводным, беспроводным или сотовым сетям, безопасность сети является важной концепцией. В этой статье мы рассмотрим, что такое безопасность сети и ее основные функции.

Давайте рассмотрим темы, описанные в этой статье «Что такое безопасность сети?»:

  1. Что такое безопасность сети?
  2. Что такое атака безопасности сети?
  3. Типы сетевой безопасности
  4. Задания сетевой безопасности

Что такое безопасность сети?

Сетевая безопасность - это процесс принятия превентивных мер для защиты базовой сетевой инфраструктуры от несанкционированного доступа, неправильного использования, сбоя, модификации, уничтожения или ненадлежащего раскрытия.

Интернет, несомненно, стал огромной частью нашей жизни. Многие люди в современном поколении полагаются на Интернет во многих сферах своей профессиональной, социальной и личной деятельности. Но вы уверены, что ваша сеть безопасна?

Есть много людей, которые пытаются повредить наши компьютеры, подключенные к Интернету, нарушают нашу конфиденциальность и делают невозможным доступ к интернет-сервисам. Учитывая частоту и разнообразие существующих атак, а также угрозу новых и более разрушительных будущих атак, сетевая безопасность стала центральной темой в области кибербезопасности.Реализация мер безопасности сети позволяет компьютерам, пользователям и программам выполнять свои разрешенные критические функции в безопасной среде.

Как мы можем обеспечить безопасность сети?

Мы должны гарантировать, что пароли являются надежными и сложными везде - и в сети, а не только на отдельных компьютерах в организации. Эти пароли не могут быть простыми, стандартными и легко угадываемыми. Этот простой шаг может иметь большое значение для защиты ваших сетей.

Почему безопасность так важна?

Информационная безопасность выполняет ключевые роли, такие как:

  • Способность организации функционировать без каких-либо помех
  • Обеспечение безопасной работы приложений, реализованных в ИТ-системах организации
  • Защита данных, которые организация собирает и использует

Какие существуют виды сетевой безопасности?

    Контроль доступа
  • Защита приложений
  • Брандмауэры
  • Виртуальные частные сети (VPN)
  • Поведенческая аналитика
  • Беспроводная безопасность
  • Система предотвращения вторжений

Эти вопросы более подробно рассматриваются далее в этом блоге ,

Теперь, когда мы знаем, что такое сетевая безопасность, давайте рассмотрим две основные категории сетевых атак.


Сетевая безопасность | Введение в безопасность сети | Edureka

Что такое атака сетевой безопасности?

Сетевую атаку можно определить как любой метод, процесс или средство, используемые для злонамеренной попытки поставить под угрозу безопасность сети. Сетевая безопасность - это процесс предотвращения сетевых атак через данную сетевую инфраструктуру, но методы и методы, используемые злоумышленником, дополнительно различают, является ли атака активной кибератакой, атакой пассивного типа или какой-либо их комбинацией.

Давайте рассмотрим простой пример сетевой атаки, чтобы понять разницу между активной и пассивной атакой.

Активные атаки

Активная атака - это сетевой эксплойт, в котором злоумышленник пытается внести изменения в данные о цели или данные на пути к цели .

Познакомьтесь с Алисой и Бобом. Алиса хочет общаться с Бобом, но расстояние - это проблема. Итак, Алиса отправляет электронное письмо Бобу через сеть, которая не защищена от атак.Есть еще один человек, Том, который находится в одной сети с Алисой и Бобом. Теперь, когда поток данных открыт для всех в этой сети, Том изменяет некоторую часть авторизованного сообщения, создавая несанкционированный эффект. Например, сообщение, означающее «Разрешить BOB читать конфиденциальный файл X», изменяется на «Разрешить Смиту читать конфиденциальный файл X».

Активные сетевые атаки часто являются агрессивными, явными атаками, о которых жертвы сразу же узнают, когда они происходят. Активные атаки носят крайне вредоносный характер, часто блокируя пользователей, разрушая память или файлы или принудительно получая доступ к целевой системе или сети.

Пассивные атаки

Пассивная атака - это сетевая атака, при которой система отслеживается и иногда сканируется на наличие открытых портов и уязвимостей, но не влияет на системные ресурсы.

Давайте рассмотрим пример, который мы видели ранее:

Passive Attack - What is Network Security - Edureka

Алиса отправляет электронное письмо Бобу через сеть, которая не защищена от атак. Том, находящийся в одной сети с Алисой и Бобом, следит за передачей данных между Алисой и Бобом.Предположим, Алиса отправляет Бобу важную информацию, такую ​​как реквизиты банковского счета, в виде простого текста. Том может легко получить доступ к данным и использовать их в злонамеренных целях.

Итак, цель пассивной атаки - получить доступ к компьютерной системе или сети и собирать данные без обнаружения.

Итак, сетевая безопасность включает в себя реализацию различных аппаратных и программных технологий, необходимых для защиты базовой сетевой архитектуры. При наличии надлежащей сетевой безопасности вы можете обнаружить новые угрозы, прежде чем они проникнут в вашу сеть и скомпрометируют ваши данные.

Какие существуют виды сетевой безопасности?

В системе сетевой безопасности есть много компонентов, которые работают вместе, чтобы улучшить ваше состояние безопасности. Наиболее распространенные компоненты сетевой безопасности обсуждаются ниже.

Контроль доступа

Чтобы не допустить потенциальных злоумышленников, вы должны иметь возможность блокировать несанкционированный доступ пользователей и устройств к вашей сети. Пользователи, которым разрешен доступ к сети, должны иметь возможность работать только с набором ресурсов, для которых они авторизованы.

Защита приложений

Защита приложений включает в себя оборудование, программное обеспечение и процессы, которые можно использовать для отслеживания и блокировки уязвимостей приложений, которые злоумышленники могут использовать для проникновения в вашу сеть.

Брандмауэры

Брандмауэр - это устройство или служба, которая действует как привратник, решая, что входит и выходит из сети. Они используют набор определенных правил, чтобы разрешить или заблокировать трафик. Брандмауэр может быть аппаратным, программным или обоим.

Виртуальные частные сети (VPN)

Виртуальная частная сеть шифрует соединение конечной точки с сетью, часто через Интернет. Таким образом, он аутентифицирует связь между устройством и защищенной сетью, создавая безопасный, зашифрованный «туннель» через открытый интернет.

Behavioral Analytics

Вы должны знать, как выглядит нормальное поведение сети, чтобы вы могли обнаружить аномалии или нарушения сети по мере их возникновения.Инструменты поведенческой аналитики автоматически идентифицируют действия, которые отклоняются от нормы.

Wireless Security

Беспроводные сети не так безопасны, как проводные. Киберпреступники все чаще ориентируются на мобильные устройства и приложения. Таким образом, вам нужно контролировать, какие устройства могут получить доступ к вашей сети.

Система предотвращения вторжений

Эти системы сканируют сетевой трафик для выявления и блокирования атак, часто путем сопоставления сигнатур сетевой активности с базами данных известных методов атаки.

Итак, вот несколько способов обеспечения безопасности сети. Помимо этого вам понадобятся различные программные и аппаратные средства в вашем наборе для обеспечения сетевой безопасности, а именно:

  • Брандмауэры
  • Создатели пакетов
  • Веб-сканеры
  • Пакетные анализаторы
  • Система обнаружения вторжений
  • Проникновение тестирование программного обеспечения

Сетевая безопасность необходима для общей кибербезопасности, поскольку сеть является важной линией защиты от внешних атак.Учитывая, что практически все данные и приложения подключены к сети, надежная сетевая безопасность защищает от утечки данных.

Задания по сетевой безопасности

Благодаря широко известному успеху популярных кибератак, таких как WannaCry и Adylkuzz, компании платят больше, чем когда-либо, за привлечение высококвалифицированных специалистов по кибербезопасности для защиты своих наиболее уязвимых активов. Аналитик по сетевой безопасности и инженер по сетевой безопасности входят в число двух самых высокооплачиваемых рабочих мест по кибербезопасности.В то время как сетевой безопасности инженер , скорее всего, будет строить системы безопасности, аналитик сетевой безопасности , скорее всего, будет поручено сканирование сети на наличие вероятных уязвимостей. Обе должности зарабатывают в среднем от 90 000 до 150 000 долларов.

Если вы хотите изучать кибербезопасность и строить яркую карьеру в области кибербезопасности, то ознакомьтесь с нашим учебным курсом по сертификации кибербезопасности , который включает в себя живое обучение под руководством инструктора и опыт работы в реальных проектах.Этот тренинг поможет вам глубже понять кибербезопасность и достичь мастерства в данной области.

Есть вопрос для нас? Пожалуйста, укажите это в разделе комментариев «Что такое безопасность сети?» и мы свяжемся с вами

.

RF Беспроводные поставщики и ресурсы

О RF Wireless World

На веб-сайте RF Wireless World размещаются поставщики и ресурсы радиочастотной и беспроводной связи. Сайт охватывает статьи, учебные пособия, поставщиков, терминологию, исходный код (VHDL, Verilog, MATLAB, Labview), тестирование и измерение, калькуляторы, новости, книги, загрузки и многое другое.

Сайт RF Wireless World охватывает ресурсы по различным темам, таким как RF, беспроводная связь, VSAT, спутник, радар, волоконная оптика, микроволновая печь, Wimax, WLAN, ZigBee, LTE, 5G NR, GSM, GPRS, GPS, WCDMA, UMTS, TDSCDMA, Bluetooth, Lightwave RF, Z-Wave, Интернет вещей (IoT), M2M, Ethernet и т. Д.Эти ресурсы основаны на стандартах IEEE и 3GPP. В нем также есть академическая секция, которая охватывает колледжи и университеты в области инженерии и MBA.

статей по IoT системам

IoT based Fall Detection System architecture

IoT-система обнаружения падения для пожилых людей : В статье рассматривается архитектура системы обнаружения падения для пожилых людей. В нем упоминаются преимущества или преимущества системы обнаружения падения IoT. Читать дальше➤
Также см. Другие статьи о системах на основе IoT следующим образом:
• Система очистки туалета AirCraft • Система измерения удара при столкновении • Система отслеживания скоропортящихся продуктов и овощей • Система помощи водителю • Smart Retail System • Система контроля качества воды • Smart Grid System • Интеллектуальная система освещения на базе Zigbee • Умная система парковки на базе Zigbee • Система умной парковки на базе LoRaWAN


RF Wireless Articles

В этом разделе статей рассматриваются статьи по физическому уровню (PHY), уровню MAC, стеку протоколов и архитектуре сети на основе WLAN, WiMAX, zigbee, GSM, GPRS, TD-SCDMA, LTE, 5G NR, VSAT, гигабитного Ethernet на основе IEEE / 3GPP и т. Д. ,стандарты. Он также охватывает статьи, связанные с тестированием и измерениями, на соответствие тестированию, используемому для тестирования соответствия RF / PHY устройства. СПРАВОЧНИК СТАТЬЯ ИНДЕКС >>.


Физический уровень 5G NR : Обработка физического уровня для канала 5G NR PDSCH и канала 5G NR PUSCH была пройдена поэтапно. Это описание физического уровня 5G соответствует спецификациям физического уровня 3GPP. Читать подробнее➤


5G cell phone architecture

Основы повторителя и типы повторителей : Он объясняет функции различных типов ретрансляторов, используемых в беспроводных технологиях.Читать подробнее➤


Основы и типы замирания : В этой статье рассматриваются мелкие замирания, крупные замирания, медленные замирания, быстрые замирания и т. Д., Используемые в беспроводной связи. Читать подробнее➤


Архитектура сотового телефона 5G : В этой статье рассматривается блок-схема сотового телефона 5G с внутренними модулями 5G. Архитектура сотового телефона. Читать подробнее➤


5G cell phone architecture

Основы помех и типы помех: В этой статье рассматриваются помехи в соседнем канале, помехи в совмещенном канале, EM Interference, ICI, ISI, Light Interference, Sound Interference и т. Д.Читать подробнее➤


5G NR Section

В этом разделе рассматриваются функции 5G NR (New Radio), нумерология, диапазоны, архитектура, развертывание, стек протоколов (PHY, MAC, RLC, PDCP, RRC) и т. Д. 5G NR Краткий справочный указатель >>
• 5G NR Mini Slot • 5G NR часть полосы пропускания • 5G NR CORESET • 5G NR DCI форматы • 5G NR UCI • 5G NR форматы слотов • 5G NR RRC IE • 5G NR SSB, SS, PBCH • 5G NR PRACH • 5G NR PDCCH • 5G NR PUCCH • 5G NR опорные сигналы • 5G NR m-последовательность • 5G NR Gold Sequence • 5G NR Задов Чу Последовательность • 5G NR Физический уровень • 5G NR MAC-уровень • 5G NR RLC слой • 5G NR PDCP уровень


Учебники по беспроводной технологии

В этом разделе рассматриваются RF и беспроводные учебники.Он охватывает учебники по таким темам, как сотовая связь, WLAN (11ac, 11ad), wimax, bluetooth, zigbee, zwave, LTE, DSP, GSM, GPRS, GPS, UMTS, CDMA, UWB, RFID, радар, VSAT, спутник, WLAN, волновод, антенна, фемтосота, тестирование и измерения, IoT и т. Д. См. ИНДЕКС УЧЕБНИКОВ >>


Учебное пособие по 5G - Это учебное пособие по 5G также охватывает следующие подтемы по технологии 5G:
Учебник по основам 5G Полосы частот учебник миллиметровой волны 5G мм волновая рамка 5G мм волновое звучание канала 4G против 5G Испытательное оборудование 5G Архитектура сети 5G Сетевые интерфейсы 5G NR звучание канала Типы каналов 5G FDD против TDD 5G NR сетевой нарезки Что такое 5G NR Режимы развертывания 5G NR Что такое 5G TF


Этот учебник по GSM охватывает основы GSM, сетевую архитектуру, сетевые элементы, технические характеристики системы, приложения, Типы пакетов GSM, структура или иерархия кадров GSM, логические каналы, физические каналы, Физический уровень GSM или обработка речи, вход в сеть мобильной связи GSM или настройка вызова или процедура включения питания, MO-вызов, MT-вызов, VAMOS, AMR, MSK, модуляция GMSK, физический уровень, стек протоколов, основы мобильного телефона, РЧ планирование, PS вызов по нисходящей линии связи и PS вызов по восходящей линии связи.
➤Подробнее.

LTE Tutorial , посвященный архитектуре системы LTE, охватывающей основы LTE EUTRAN и LTE Evolved Packet Core (EPC). Он обеспечивает связь с обзором системы LTE, радиоинтерфейсом LTE, терминологией LTE, категориями LTE UE, структурой кадров LTE, физическим уровнем LTE, Стек протоколов LTE, каналы LTE (логические, транспортные, физические), пропускная способность LTE, агрегация несущих LTE, передача голоса по LTE, расширенный LTE, Поставщики LTE и LTE против LTE продвинулись.➤Подробнее.


RF Technology Stuff

На этой странице мира беспроводных технологий РЧ рассказывается о пошаговой разработке преобразователя частоты на примере преобразователя частоты UP UP в диапазоне 70 МГц. для микрополосковой платы с использованием дискретных радиочастотных компонентов, а именно Микшеры, Локальный генератор, MMIC, синтезатор, OCXO опорный генератор, колодки аттенюатора. ➤Подробнее.
FRF Трансивер Дизайн и разработка FilterRF фильтр дизайн Система ВСАТ &Типы и основы микрополоски Ave Основы волновода


Секция испытаний и измерений

В этом разделе рассматриваются ресурсы T & M, испытательное и измерительное оборудование для тестирования DUT на основе Стандарты WLAN, WiMAX, Zigbee, Bluetooth, GSM, UMTS, LTE.Индекс испытаний и измерений >>
XPXI система для T & M. Generation Генерация и анализ сигналов Измерения слоя PHY TestПроверка устройства WiMAX Test Тест на соответствие Зигби ConLTE UE тест на соответствие Тест соответствия ➤TD-SCDMA


Волоконно-оптическая технология

Оптоволоконный компонент Основы , включая детектор, оптический соединитель, изолятор, циркулятор, переключатели, усилитель, фильтр, эквалайзер, мультиплексор, разъемы, демультиплексор и т. д.Эти компоненты используются в волоконно-оптической связи. Оптические компоненты INDEX >>
Iber Учебник по волоконно-оптической связи PSAPS в SDH Основы ➤SONET FrameSDH Рамная структура СОНЕТ против SDH


RF Wireless Vendors, Производители

Сайт RF Wireless World охватывает производителей и поставщиков различных радиочастотных компонентов, систем и подсистем для ярких приложений, обратитесь к поставщику ИНДЕКС >>.

RF Wireless World Home Page-Passive RF components

Поставщики РЧ-компонентов, охватывающие ВЧ-изолятор, ВЧ-циркулятор, ВЧ-смеситель, ВЧ-усилитель, ВЧ-адаптер, ВЧ-разъем, ВЧ-модулятор, ВЧ-приемопередатчик, ФАПЧ, ГУН, синтезатор, Антенна, генератор, делитель мощности, сумматор мощности, фильтр, аттенюатор, диплексер, дуплексер, чип-резистор, чип-конденсатор, чип-индуктор, ответвитель, ЭМС, программное обеспечение RF Design, диэлектрический материал, диод и т. д.Поставщики радиочастотных компонентов >>
Базовая станция Циркулятор ➤RF Изолятор RyХрустальный генератор


MATLAB, Labview, Embedded Исходные коды

В разделе исходного кода RF Wireless World рассматриваются коды языков программирования MATLAB, VHDL, VERILOG и LABVIEW. Эти коды полезны для начинающих на этих языках. УКАЗАТЕЛЬ ИНДЕКС КОДА ИСТОЧНИКА >>
Код VHDL декодера от 3 до 8 RamСкремблер дескремблер код MATLAB 32-битный код ALU Verilog ➤T, D, JK, SR коды флип-флоп labview


* Общая информация о здравоохранении *

Сделайте эти пять простых вещей, чтобы помочь остановить коронавирус (COVID-19).
ПЯТЬ ПЯТЬ
1. РУКИ: часто мойте их
2. УЖЕ: кашель
3. ЛИЦО: не трогай это
4. НОГИ: оставайтесь на расстоянии более 3 футов (1 м) друг от друга 5. ЧУВСТВУЙ: больной Оставайся дома


Используйте Contact Tracing Technology >>, следуйте принципам социального дистанцирования >> установить систему видеонаблюдения >> чтобы спасти сотни жизней. Использование концепции телемедицины стало очень популярным в такие страны, как США и Китай, чтобы остановить распространение COVID-19, поскольку это заразная болезнь.


RF Беспроводные калькуляторы и преобразователи

В разделе калькуляторы и конвертеры представлены RF-калькуляторы, беспроводные калькуляторы, а также конвертеры единиц измерения. Они охватывают беспроводные технологии, такие как GSM, UMTS, LTE, 5G NR и т. Д. СПРАВОЧНИК КАЛЬКУЛЯТОРОВ Индекс >>.
G5G NR Калькулятор пропускной способности G5G NR ARFCN против преобразования частоты Калькулятор скорости передачи данных oLoRa TELTE EARFCN в преобразование частоты AgЯги Антенна Калькулятор G5G NR калькулятор времени выборки


Интернет вещей вещей Беспроводные технологии

Раздел о IoT охватывает беспроводные технологии Интернета вещей, такие как WLAN, WiMAX, Zigbee, Z-wave, UMTS, LTE, GSM, GPRS, THREAD, EnOcean, LoRa, SIGFOX, WHDI, Ethernet, 6LoWPAN, RF4CE, Bluetooth, Bluetooth с низким энергопотреблением (BLE), NFC, RFID, INSTEON, X10, KNX, ANT +, Wavenis, Dash7, HomePlug и другие.Он также охватывает датчики IoT, компоненты IoT и компании IoT.
См. Главную страницу IoT >> и следующие ссылки.
➤THREAD ➤EnOcean ➤LoRa учебник IGSIGFOX учебник ➤WHDI ➤6LoWPAN IgZigbee RF4CE ➤NFC ➤Lonworks ➤CEBus ➤UPB



связанных постов


RF Беспроводные учебники



Различные типы датчиков


Поделиться этой страницей

Перевести эту страницу

,

Введение Сетевая безопасность

Введение в изучение сетевой безопасности

ИНДЕКС
Прежде чем начать
Условия безопасности
Модель
ISO / OSI и модель TCP / IP
Основы работы в сети
Сетевые протоколы
Инструменты сетевой безопасности
Антивирусная защита
Защита операционной системы
MISC ссылки

Прежде чем начать

Это руководство не должно быть всеобъемлющим.Это справка, чтобы дать человеку, который интересуется сетевой безопасностью, но не знает, с чего начать, некоторые рекомендации о том, как начать изучение обширной области сетевой безопасности и где искать информацию. Важно помнить о том, чтобы оставаться сосредоточенным и учиться понемногу. Легко стать запуганным, смотря на большую картину и все, что это влечет за собой. Сосредоточьтесь на каждом разделе и постепенно увеличивайте свою базу знаний. Есть много курсов, которые вы можете пройти, чтобы ознакомиться с основами сетевой безопасности.SANS Institute имеет множество треков, посвященных различным областям сетевой безопасности. Дорожка 1 - это «Основные основы безопасности» и «Домены CISSP 10», которые позволят вам глубоко заглянуть в мир сетевой безопасности. Дополнительную информацию можно найти на сайте www.sans.org, нажав на трек 1 для любой из конференций. Для дальнейшего прочтения различных областей сетевой безопасности посетите читальный зал SANS www.sans.org/rr/, который вам очень пригодится. Помните, что глубокая защита - это ключ к хорошей сетевой безопасности.

Вернуться к началу

Условия безопасности

При изучении сетевой безопасности есть много терминов, которые вы услышите, и важно ознакомиться с ними. Во многих из следующих областей, перечисленных ниже, будет использоваться большая часть терминологии, и важно не понимать терминологию. Вот отличная ссылка, чтобы помочь вам быстро освоить www.sans.org/resources/glossary.php

Вернуться к началу

Модель

ISO / OSI и модель TCP / IP

Другой ключевой элемент, который нужно знать, - это семиуровневая модель ISO / OSI, а также пятиуровневая модель TCP / IP Министерства обороны США, которая описывает процесс передачи информации / данных из одной системы в другую.Это достигается путем определения взаимосвязанных слоев, по которым проходит информация. Вы услышите, что люди обращаются к сетевому устройству, возможно, к коммутатору, и они могут описать коммутатор как устройство второго уровня и / или третьего уровня. Они ссылаются на способность коммутатора взаимодействовать с данными на этом конкретном уровне модели. Вот несколько хороших ссылок, которые описывают модель ISO / OSI:


Модель ISO / OSI для чайников.
Применение семиуровневой сетевой модели OSI к информационной безопасности.
Понимание безопасности с использованием модели OSI.

Следующая таблица предоставлена ​​для быстрого ознакомления между ними и их отношениями.

TCP / IP

OSI

Заявка

Заявка

Презентация

Сессия

Транспорт

Транспорт

Интернет

Сеть

Datalink

Datalink

Физический

Физический

Вернуться к началу

Основы работы в сети

Сеть подключена множеством разных устройств.Все они предоставляют разные услуги и используются для того, чтобы дать различным типам систем, в разных местах или в одном и том же месте, возможность общаться. Важно ознакомиться с основными устройствами, которые позволяют общаться. Также было бы хорошо изучить различные топологии сети и понять, как они работают.

Сетевые устройства

  • маршрутизаторы
  • хабы
  • мосты
  • выключатели
  • повторителей

Полезные ссылки для сетевых устройств

Основы работы с сетью
Быстро и грязно: концентраторы, коммутаторы и маршрутизаторы
Концентраторы, коммутаторы и маршрутизаторы Практическое руководство
Глава 5. Регуляторы трафика
Учебник для начинающих
Глава 3: Аппаратное обеспечение
Топологии сетей Cisco и проектирование ЛВС

Сетевые топологии

Полезные ссылки для топологий сети

Глава 5: Топология Сетевая топология

Топологии сети Cisco и проектирование локальной сети

Вернуться к началу

Сетевые протоколы

Все системы и устройства в сети обмениваются данными по протоколу определенного типа.Существуют многочисленные типы протоколов и все с разными целями. Существуют некоторые основные протоколы, которые вам необходимо очень хорошо изучить, как они работают и как они реализуются.

Сетевые протоколы

Полезные ссылки для сетевых протоколов

Мониторинг протокола ARP в локальных сетях
Копание глубже в TCP / IP
RFC 768: протокол дейтаграмм пользователя
RFC 793: протокол управления передачей
RFC 792: протокол управляющих сообщений Интернета
RFC 826: протокол разрешения адресов Ethernet
RFC 903: Протокол обратного разрешения адресов
ARP, Протокол разрешения адресов
Типы ICMP и их RFC-ссылки
Справочное руководство по SANS TCP / IP и TCPdump

Просмотр сетевых протоколов

Если вы действительно хотите почувствовать, как выглядит сетевой трафик в действии, есть множество анализаторов пакетов, которые просты в использовании.Поначалу это может показаться странным, но через некоторое время все начнет обретать смысл. Возьмите то, что вы узнали в этой области, и начните весело смотреть на пакеты. Вот несколько хороших инструментов и их ссылки.

Ethereal
TCPdump
WinDump
Snort

Вернуться к началу

Инструменты сетевой безопасности

Существует множество различных инструментов, которые можно использовать для обеспечения безопасности сети, а также для мониторинга ее на предмет вредоносных действий. Не существует единого решения, подходящего для всех сетей.Поэтому важно быть знакомым с различными типами инструментов, которые доступны. Решение о том, что лучше всего использовать, должно основываться на том, что вы защищаете и что вы можете себе позволить. Это следует сравнить с общей стоимостью владения. Вот некоторые из различных инструментов, с которыми вы должны ознакомиться:

Сетевые брандмауэры

  • Государственная инспекция
  • Пакетный фильтр
  • Прокси
.

Сетевая безопасность - основы (Mind Map)

Сетевая безопасность - Основы (Mind Map)

-

НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ ЗАГРУЗИТЬ ФАЙЛ -

https://ipwithease.com/wp-content/uploads/2018/05/networksecurity-mindmap-ppt.pptx

СЕТЕВАЯ БЕЗОПАСНОСТЬ - ОСНОВЫ


Похожие сообщения
Об авторе
Рашми Бхардвай

Я Рашми Бхардвадж.Я здесь, чтобы поделиться своими знаниями и опытом в области сетевых технологий с целью: «Чем больше вы делитесь, тем больше вы учитесь». Я биотехнолог по квалификации и сетевой энтузиаст по интересам. Я заинтересовался сетью, находясь в компании страстного сетевого профессионала, моего мужа. Я твердо верю в то, что «обучение - это постоянный процесс открытия себя».

,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *