RSS

IT Glossary    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Оформление электронно-цифровой подписи Кроме того, мы предоставим Вам надёжный ключевой носитель Ru-Token. Получив электронную цифровую подпись у нас, Вы защитите себя от возможных проблем в будущем.
   

  1. Введение в Интернет и безопасность в нем

    1.1. Интернет
    1.2 Обзор внутреннего устройства TCP/IP
    1.3 Проблемы, связанные с безопасностью
    1.4 Насколько уязвимы сети организаци в Интернете?

  2. Введение в брандмауэры

    2.1 Понятие брандмауэра
    2.2 Почему именно брандмауэры?
    2.3 Проблемы, возникающие из-за брандмауэров
    2.4 Компоненты брандмауэра

  3. Объединение частей в единое целое - примеры брандмауэров

    3.1 Брандмауэр с фильтрацией пакетов
    3.2 Брандмауэр на основе машины, подключенной к двум сетям
    3.3 Брандмауэр с изолированным хостом
    3.4 Брандмауэр с изолированной подсетью
    3.5 Интеграция модемных пулов с брандмауэрами

  4. Следующие шаги

    4.1 Политика брандмауэра
    4.2 Приобретение брандмауэра
    4.3 Организационные вопросы с брандмауэрами

  5. Приложение. Онлайновые информационные ресурсы
 Бесплатная консультация специалиста
Loading…
 

Любая локальная сеть изначально построена на концентраторах, это связано с нехваткой материальных средств. Концентратор представляет собой простейшее устройство, выполняющее усиление сигнала и повтор его на все порты. Логическая топология в большинстве сетей – звезда, физическая – общая шина. Таким образом, пакет будет проходить через каждый концентратор по всем узлам сети. Несложно догадаться, что при определенном желании любой клиент может перехватить пакет данных и прочитать его. Причем это будет вполне законно – данные передаются через его станцию, и никто не мешает их прочитать.
Помогает разбивка маршрутизаторами и коммутаторами. Без этого никак, потому что районная сеть не может работать без роутеров. Но в одном сегменте проснифить (прослушать все пакеты) элементарно, в результате чего без проблем уводятся пароли на почту, статистику, ICQ и т.п.
Пару лет назад программ-сниферов под винды было мало, но со временем ситуация изменилась. От программы не требуется ничего сложного: снифер переключает сетевую карту в promisc-режим. В этом положении адаптер принимает абсолютно все пакеты, не проверяя соответствие MAC-адреса. В этих пакетах встречаются различные пароли.
По сути, снифинг – это преступление. Но выявить факт прослушивания очень сложно. Бегать по клиентам и смотреть работу их сетевой карточки гиморно, поэтому единственным верным решением является переход на коммутаторы. Коммутатор не повторяет сигнал, а направляет его по назначению (сравнивает MAC-адреса). В результате хакер ничего не уловит, а пользователи будут в безопасности. Если же перейти на коммутаторы пока затруднительно, есть смысл использовать SSL в сервисах. На статистику пускать только через HTTPS, авторизаторы (о них подобнее ниже) снабдить OpenSSL-поддержкой, FTP, Mail и прочие ресурсы также подвергать секурной обработке. После такой модернизации злоумышленнику останется кусать локти.
В реальной жизни снифание – довольно типичное явление в локальных сетях, однако особого вреда сети не приносит, поэтому отлов преступников не производится. Тех, кто совершает подобные действия, даже хакерами не назовешь, так как им далеко до реальных взломщиков.
Подмена сетевых реквизитов
При подключении к сети клиенту выдают информацию, которая содержит IP-адрес, DNS-серверы, пароль на почтовый ящик и другие данные. Проще говоря, он получает листок с информацией о прописке в сети. То есть у каждого клиента есть собственный IP и MAC-адреса.
Поюзав инет и поняв, что выкачивание тонны вареза – удовольствие дорогое, юзер может попробовать заюзать халявный инет путем замены своих реквизитов (реквизиты: IP и MAC-адреса). В самом запущенном случае ему достаточно сменить IP-адрес (в установках сетевого соединения) и радоваться халявному доступу. Маршрутизатор будет считать трафик по смененному IP, а не по истинному адресу хакера. Однако этот прием не сработает в большинстве сетей: админы делают жесткую привязку IP-адреса к MAC-адресу сетевой карты.
Возможен другой вариант: в сети, построенной на хабах, халявщик будет иметь полный доступ к ресурсам, находящимся до его роутера. Если он запросит узел, который расположен в другом сегменте, шлюз обратится к своей ARP-таблице за правилом соответствия MAC и IP. Обнаружив, что айпишник не соответствует физическому адресу, роутер не выполнит запрос хакера.
Но халявный инет возможен даже при активной ARP-привязке. Для этого хакеру необходимо подменить MAC-адрес. По стандарту Ethernet MAC от сетевухи прошит в микросхему и не может быть заменен, однако на уровне ОС подмена возможна. Для этого взломщик обращается к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<network adapter>\Parameters и меняет значение поля NetworkAddress. После ребута сетевуха будет уже с новым маком. В WinXP справится даже ребенок: в настройке сетевого соединения необходимо выбрать настройку карточки и прописать заветный MAC. Ребут не нужен. Несмотря на то, что управляемые коммутаторы логируют изменение MAC, юзер может сделать замену при выключенной сетевушке или выдернутом кабеле.
Хакер предварительно сканирует сеть, ищет жертву и без проблем узнает ее сетевые реквизиты. Обращается к ветке реестра... и юзает халявный инет.
Выявить факт подмены при правильных действиях хакера довольно проблематично. Точнее, сам факт выясняется после того, как юзер увидит системное оповещение о двойном использовании IP-адреса в сети. Зафайрволенного до зубов героя провайдер находит следующим образом. Сеть физически разделяют на две части. Затем, если линк до героя-хакера не пропадает, еще на две. И так до обнаружения последнего Jack'а. Если провайдера вынуждают идти на такие меры, последствия будут плачевными для хакера.
Становится модным устанавливать программы-авторизаторы, которые блокируют замену сетевых реквизитов. То есть любой клиент не получит ни байта интернета, пока не запустит авторизатор. Последний коннектится к маршрутизатору и отправляет ему свой личный пароль. После этих действий на шлюзе заносится правило файрвола, разрешающее юзать интернет. Таким образом, чтобы поиметь халяву, хакеру необходимо знать пароль на авторизатор, что значительно затрудняет подмену реквизитов. Тем не менее, случаи бывают, с такими хакерами провайдер особо не церемонится, а отключает физически.
Приводить здесь рутинную настройку софта для защиты от хакеров нет смысла. В интернете полно статей о том, как настроить ARP и авторизатор. Скажу только, что статические привязки добавляются с помощью команды arp –s ip-addr mac-addr, а сорцы авторизатора ты можешь найти на сайте www.nag.ru. А самой лучшей защитой, которой придерживаются многие провайдеры, является переход на управляемые коммутаторы и последующая привязка порта к определенному MAC-адресу.
Можно предположить вторжение в сеть и совершенно чужого человека. То есть злоумышленник находит хаб в своем щитке (туда провайдеры любят устанавливать свое оборудование), коннектит свой Jack в свободный порт, затем снифит реквизиты пользователя и присваивает их себе. Несмотря на кажущуюся сложность, такие прецеденты бывают достаточно часто. Выясняется такое вторжение, как правило, после обращения пользователя в офис с вопросом "откуда взялись 500 метров входящего трафика за одну ночь?". Следствие показывает местонахождение злоумышленника, которого быстро сдают в милицию (или другие органы).
RPC-напасти
Возможно, тебе придется столкнуться с взломами Win2k серверов. Если ты не держишь винду в качестве маршрутизаторов, это не значит, что проблема миновала твою сеть. Твои клиенты могут быть ламерами и выпустить в сеть непропатченную XP'шку с бажными RPC-функциями. В итоге любой человек может порулить бажным компьютером. А если это локальный юзверь, то и выкачать пару сотен метров инета, а затем слить варез себе (трафик по сегменту халявный).
Это все реальные факты, с которыми сталкивались многие провайдеры. Причем, после этого трудно будет определить, кто прав, а кто виноват. Несмотря на то, что машина поломана, качали именно с этой рабочей станции, что, по сути, не в пользу честного клиента. Но некоторые админы идут навстречу юзерам и закрывают файрволом 135 и 139 порты. После этого нельзя взломать машину RPC-эксплойтом. Либо провайдер устанавливает NIS, либо настраивает персональный файрвол пользователю (по желанию и за определенную сумму). После этих нехитрых действий RPC-атаки не страшны.
Взлом провайдерских серверов
Существуют случаи, по сравнению с которыми предыдущие нарушения кажутся детскими шалостями. Я говорю про взлом программного обеспечения самого провайдера (через различные дыры). Такие взломы целиком и полностью зависят от компетентности администратора. Существует ряд рекомендаций начинающему администратору:
1. Жестко отфильтровывай доступ к управляющим сервисам как извне, так и внутри. Не думай, что умные хакеры появляются только извне, внутри сети встречаются матерые взломщики. Некоторые администраторы перекрывают кислород даже на канальном уровне – разрешают доступ к серверу только определенному VLAN’у (виртуальной сети).
2. Разграничивай ресурсы сети. Не устанавливай все сервисы на одной машине. Определи один комп под игровой сервер, где будут крутиться различные ультимные шарды, халфлайфовые и варкрафтовые демоны и т.п. Затем поставь MAIL-сервер и WWW+FTP-машину. Упаси боже установить дырявый CS-сервак на биллинг провайдера :). Только при грамотном распределении твоя сеть будет защищена от цепких лап хакеров.
3. Используй SSH-ключи только с паролем. Часто администратор создает SSH-ключ для коннекта, к примеру, на сервер статистики. Приватный ключик он разбрасывает по всем остальным серверам сетки: FTP, GAME, MAIL и т.д. При этом предыдущий совет теряет смысл: если хакер получил рута на игровой машине, он легко порутает и биллинг.
4. Ставь только проверенные демоны. Не устанавливай дырявые и малоизвестные сервисы, ставящие под угрозу всю сеть. Это только притягивает хакеров. Перед тем как установить что-либо новое, пройдись по багтраку, обойди форумы на OpenNet’е и, если не найдешь ничего компрометирующего, втыкай программу на сервак. И не спускай с демона глаз в течение определенного времени: бдительность никогда не бывает лишней.
5. Постоянно изучай логи. Особенно это касается стратегических серверов (к примеру, биллинг или главный маршрутизатор). Если тебя пытаются поломать, то рано или поздно поломают. Если в лом читать километры текстовой информации, поставь хороший парсер. В инете их полно.
6. Регулярно проверяй контрольную сумму твоих бинарных файлов. А еще лучше поручи это какой-нибудь популярной IDS. Сверить MD5 ручками можно командой rpm –-verify. Обязательно храни при себе дискету (либо болванку) с бинарниками ls, find, ps, w, netstat, lsof, ifconfig и т.п. В случае малейшего подозрения на взлом запусти файлы и проверь, все ли в порядке. Немного внимания никогда не повредит.
Чтобы удостовериться в том, что адаптеры твоего маршрутизатора находятся в обычном режиме, выполни ifconfig и обрати внимание не отсутствие флага PROMISC в свойствах. Если этот флаг присутствует, то на сервере стоит умная IDS, либо тебя успешно порутали.
Туннель как средство для халявного инета
Очень часто пользователь ищет обходной путь для получения халявы. Один из таких методов - туннелирование трафика. Заключается в создании трехстороннего соединения. Например, хакер Петя сломал машину честного клиента Васи и залил туда WinProxy (популярный прокси под форточки). Затем натравил своего ослика на варезный сайт и стал сливать все файлы через похаканный комп. Исход плачевен: Вася лишается нескольких сотен метров трафика, а Петя продолжает скачивать варез. Самое обидное, что пока взломщик не обнаглеет, на Петю будут списывать весь потерянный трафик. Во всяком случае, админы выясняют причину лишь при больших потерях данных.
Другие виды туннелирования (как правило, инкапсуляция протоколов) применяются в диалапных сетях. В Ethernet-локалках учитывается трафик по всем протоколам (правда, бывает, что DNS-запросы не тарифицируются), поэтому извращаться с туннелем нет необходимости. Однако диалапщики-умельцы лезут на гостевой логин любимого провайдера и, используя nstx, мутят полноценный DNS-туннель (через виртуальный девайс ethertap). При излишней сетевой активности такие махинации легко можно пресечь и найти злоумышленника. Однако ни один провайдер за туннелирование не наказывает, считая это нормальным явлением.
Спам в локальных сетях
Еще одним нарушением в локальных сетях является организация спам-рассылок. Всем известно, что каждому клиенту выдается бесплатный почтовый ящик с использованием SMTP-сервера. Спамер, решивший, что он всех умнее, может заюзать эту услугу в своих грязных целях. Для этого он будет использовать услугу SMTP через свой либо сторонний компьютер. Грамотный администратор быстро вычислит такую махинацию. Способов вычисления много: можно включить авторизацию на SMTP, тогда имя хакера будет видно в логах почтового демона. Если такой метод неприемлем, просто изучай логи сервака на предмет подозрительных исходящих сообщений. Либо жестко ограничь трафик на 25 порту. Или поставь время очереди 15 минут и оповести об этом пользователей. Такие коренные методы защиты заставят злоумышленника обходить стороной твой SMTP.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles hackzone


Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004