- •1. Методы коммутации
- •2. Составные части ивс
- •3. Основные компоненты ивс.
- •4. Архитектура «клиент-сервер» и «файл-сервер»
- •5. Модель взаимодействия открытых систем (модель osi). Функциональное назначение уровней.
- •6. Структуризация сетей. Физическая структуризация сети.
- •7. Структуризация сетей. Логическая структуризация сети.
- •8. Коммуникационное оборудование
- •9. Структура глобальной сети.
- •10. Магистральные сети и сети доступа
- •11. Типы глобальных сетей
- •12. Адресация в tcp/ip сетях. Плоские имена. Протокол NetBios.
- •13. Адресация в tcp/ip сетях. Плоские имена. Служба имён wins
- •14. Адресация в tcp/ip сетях. Организация доменов и доменных имён. Служба dns.
- •15. Адресация в tcp/ip сетях. Протокол dhcp
- •16. Структура сетевой операционной системы
- •17. Одноранговые сетевые ос и ос с выделенными серверами
- •18. Ос для сетей отделов, сетей кампусов и сетей предприятий
- •19. Информационная безопасность
- •20. Идентификация и аутентификация пользователей. Биометрические методы идентификации и аутентификации и их достоинства
- •21. Модели компьютерных атак. Этапы реализации атаки
- •22. Классификация атак. Системы обнаружения атак. Варианты реакций на обнаруженную атаку
- •23. Межсетевой экран
- •24. Электронная цифровая подпись
22. Классификация атак. Системы обнаружения атак. Варианты реакций на обнаруженную атаку
Существуют различные типы классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные.
Обычно атаки классифицируются следующим образом.
1) Удалённое проникновение. Атаки, которые позволяют реализовать удалённое управление компьютером через сеть.
2) Локальное проникновение. Атака, которая приводит к получению несанкционированного доступа к узлу, на котором она запущена.
3) Удалённый отказ в обслуживании. Атаки, которые позволяют нарушить функционирование или перегрузить компьютер через Internet.
4) Локальный отказ в обслуживании. Атаки, которые позволяют нарушить функционирование или перегрузить компьютер, на котором они реализуются. Примером такой атаки является враждебный апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений.
5) Сетевые сканеры. Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки.
6) Сканеры уязвимостей. Программы, которые ищут уязвимости на узлах сети и которые могут быть использованы для реализации атак.
7) Взломщики паролей. Программы, которые «подбирают» пароли пользователей.
8) Анализаторы протоколов. «Прослушивают» сетевой трафик. С их помощью можно искать идентификаторы и пароли пользователей, информацию о кредитных картах и т.д.
Системы обнаружения атак. По принципу реализации: 1) host-based, то есть обнаруживают атаки, направленные на конкретный узел; 2) network-based – обнаруживают атаки, направленные на всю сеть.
Первые, как правило, собирают и анализируют информацию из журналов регистрации ОС и различных приложений. Однако в последнее время они тесно интегрируются с ядром ОС и контролируют всё. Вторые собирают информацию из сетевого трафика. Могут быть интегрированы в какой-либо компьютер в сети (захватывают и анализируют пакеты, используя сетевые интерфейсы в беспорядочном режиме) и в маршрутизаторах и коммутаторах (захватывают трафик с шины сетевого оборудования).
Варианты реакции на обнаруженную атаку. Варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:
1) уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, МЭ);
2) звуковое оповещение об атаке;
3) генерация сообщения об атаке по электронной почте;
4) дополнительные уведомления. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. Нарушитель, узнав, что его обнаружили, возможно, прекратит свои действия;
5) обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать: текстовый файл, системный журнал, БД;
6) трассировка событий, то есть запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить необходимую последовательность событий (с ускорением или без). Это позволит понять его квалификацию, используемые средства атаки и т.д.;
7) прерывание действий атакующего, то есть завершение соединения. Это можно сделать как: перехват соединения и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них, блокировка учётной записи пользователя, осуществляющего атаку;
8) реконфигурация сетевого оборудования или МЭ. В случае обнаружения атаки на маршрутизатор или МЭ посылается команда на изменения списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться;
9) блокирование сетевого трафика так, как это реализовано в МЭ. Позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнить функции, доступные в персональных МЭ.