14 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уязвимости локальных сетей

Угрозы безопасности локальных вычислительных сетей

Рубрика: Технические науки

Дата публикации: 03.11.2014 2014-11-03

Статья просмотрена: 11112 раз

Библиографическое описание:

Алексеева, М. С. Угрозы безопасности локальных вычислительных сетей / М. С. Алексеева, Е. В. Иванова. — Текст : непосредственный // Молодой ученый. — 2014. — № 18 (77). — С. 212-213. — URL: https://moluch.ru/archive/77/13449/ (дата обращения: 21.05.2020).

Локальная сеть (LOCAL AREA NETWORK-LAN) -набор компьютеров (часто называемых рабочими станциями (Workstation)), серверов, сетевых принтеров, коммутаторов (Switch), маршрутизаторов (Router), точек доступа (Access Point), другого оборудования, а также соединяющих их кабелей, обычно расположенных на относительно небольшой территории или в небольшой группе зданий (учебный класс, квартира, офис, университет, дом, фирма, предприятие) [1].

Компьютерные сети сегодня являются привычным инструментом коммуникаций, информационного обмена и выполнения вычислений. Именно поэтому очень важно быть уверенным в защищённости локальной сети и вовремя выявить возможные угрозы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Угрозы безопасности информации локальных вычислительных сетей можно разделить на две большие группы:

1. Ошибки в программном обеспечении.

2. Различные DoS- и DDoS-атаки.

3. Компьютерные вирусы, черви, троянские кони.

4. Анализаторы протоколов и прослушивающие программы («снифферы»).

5. Технические средства съема информации.

II. Человеческий фактор:

1. Уволенные или недовольные сотрудники.

2. Промышленный шпионаж.

4. Низкая квалификация.

Рассмотрим каждую угрозу и способы защиты от них подробнее.

Ошибки в программном обеспечении — самое узкое место любой сети. Источниками ошибок в программном обеспечении являются специалисты — конкретные люди с их индивидуальными особенностями, квалификацией, талантом и опытом. Большинство ошибок не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Такие уязвимости устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

Различные DoS- и DDoS-атаки. Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Защита от DoS — атак должна опираться на межсетевой экран. При этом важна правильная настройка работы всех компонентов, которая возможна лишь с участием квалифицированного специалиста области информационной безопасности. Проведение мониторинга и анализа трафика позволит своевременно обнаружить угрозы, принять необходимые меры. Более надежная защита от DDoS — атак достигается с помощью выделенного сервера. Безопасное дисковое пространство надежно хранит данные, которые находятся под контролем экспертов дата-центра. При этом предоставляется круглосуточный доступ к сети.

Существует система очистки трафика как качественная защита DDoS-атак, которая построена на выявлении поддельных пакетов и их блокировке. Легитимные пользователи при этом не ограничиваются в доступе к ресурсам. Система анализирует нормальный входящий и исходящий трафик, строит графики и запоминает адекватную работу. При DDoS-атаке сразу можно заметить аномальные отклонения в построенных кривых. При первых симптомах атаки рекомендуется обратиться к профессиональным сервисам, предоставляющим услугу защиты от таких атак [3].

Компьютерные вирусы, черви, троянские кони. Компьютерный вирус — вид вредоносного программного обеспечения, способный создавать копии самого себя и внедрятся в код других программ, с целью нарушения работы программно-аппаратных комплексов.

В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений, установка антивирусного ПО, осуществление контроля задач и сервисов, запускаемых в системе, установить персональный брандмауэр [2].

Анализаторы протоколов и прослушивающие программы («снифферы»). В эту группу входят средства перехвата передаваемых по сети данных. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POP3, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям [1].

Технические средства съема информации. Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т. д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Уволенные и недовольные сотрудники. Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачастую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д. Защита от них может осуществляться на физическом уровне и с помощью нормативно-правовых мер [4].

Промышленный шпионаж — форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды. Защититься от него достаточно сложно. В основном защита осуществляется с помощью охранной системы.

Халатность — неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к работе.

В результате ошибок из-за халатности, злоумышленник может получить доступ в защищённую сеть. Борьба с халатностью ведётся на законодательном уровне. Существует множество нормативно-правовых актов, которые предусматривают меры наказания за подобное нарушение.

Низкая квалификация. Низкая грамотность сотрудников в работе локальных сетей может приводить к ряду ошибок. Такой сотрудник не может определить, какая информация является конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один — обучение пользователей, создание соответствующих документов и повышение квалификации [4].

Вышеперечисленные угрозы составляют неполный перечень угроз безопасности локальных сетей, и могут дополняться. Однако знание основных угроз и методов борьбы с ними позволит обезопасить локальную вычислительную сеть от нежелательных воздействий, а также принять все необходимые меры по их устранению.

1. В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. — СПб: Питер, 2000.

2. Касперский Е. Компьютерные вирусы, 2003. — Электронная энциклопедия. — Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.

3. Лужнов Е. DDoS атаки, методы противодействия// Лаборатория Касперского.

4. Информационно-психологическая безопасность: основные понятия / Г. М. Зараковский., Г. Л. Смолян // Психология и безопасность организаций: Сб. науч. тр. / Под ред. А. В. Брушлинского и В. Е. Лепского. — М., 1997.

Дыры в защите корпоративной сети: сетевые уязвимости

В предыдущем блоге мы рассказали о том, какие атаки могут быть предприняты злоумышленником, работающим из-под учетной записи обычного пользователя без привилегий локального администратора. В частности, мы приводили пример того, как упрощенное наследование привилегий в рамках доменной авторизации (Single-Sign-On) позволяет злоумышленнику получить доступ к различным сетевым ресурсам и сервисам, действуя из-под ограниченной учетной записи обычного пользователя. В этом блоге мы детально рассмотрим возможные векторы атаки на корпоративную сеть изнутри, т.е. с зараженного компьютера.

После того, как злоумышленник получил контроль над какой-либо пользовательской системой в корпоративной сети, все дальнейшие события укладываются в три последовательных этапа: закрепление в системе, анализ окружения и распространение. Есть множество вариантов реализации каждого из описанных этапов, различающихся техническими методами, стратегией и тактикой. Возможные варианты действий злоумышленника, направленных на закрепление, анализ и распространение в корпоративной сети, изображены на схеме ниже.

Схема действий злоумышленника

Для специалистов ИБ важно знать признаки, по которым та или иная атака может быть своевременно обнаружена. Так, используя предложенную «карту действий», специалисты ИБ могу обнаружить атаку, сопоставляя происходящие в сети события с различными шаблонами поведения злоумышленника.

Закрепление в системе

Обычно в первые минуты или часы после проникновения в корпоративную сеть хакер загружает на атакованный компьютер утилиты (в т.ч. вредоносные), необходимые для сбора информации о системе и установленном ПО, поиска файлов и данных, установления связи с центром управления (C&C), кражи учетных данных, перебора паролей, взлома учетных записей, повышения привилегий, заражения системы, перехвата сетевого трафика, сканирования устройств в сети и т.д.

Чтобы скрыть загрузку всех необходимых инструментов от глаз сетевых администраторов и специалистов ИБ и избежать срабатывания всевозможных систем защиты, хакеры прибегают к маневрам различной степени сложности:

  • Файлы передаются по сетевым протоколам/портам общего назначения (HTTP, FTP, HTTPS, SFTP), растворяясь в огромном потоке ежедневного пользовательского трафика.
    Файлы загружаются со взломанных серверов, с использованием Fast Flux сетей или через Tor.
  • Файлы передаются по частям, в обфусцированном и/или зашифрованном виде.
  • Иногда для передачи используются различные виды стеганографии, например, сокрытие данных внутри аудио/видео файлов, изображений или заголовков интернет-протоколов (особенно если порты общего назначения закрыты сетевым экраном).

После загрузки необходимых инструментов злоумышленник пытается получить доступ к учетной записи локального администратора или системы. В первом случае обычно используется ПО для перехвата ввода с клавиатуры, перебора паролей, взлома учетных записей или фишинг. Во втором случае для получения доступа к системной учетной записи (т.е. привилегий уровня ядра) обычно используются эксплойты уязвимостей в системных сервисах.

Читать еще:  Tls mls что лучше SSD?

Используя полученные привилегии, злоумышленник сможет глубоко закрепиться в системе, внедрив в ОС руткит или буткит, очистить систему от следов проникновения, скрыть свои инструменты и следы активного заражения от локальных средств защиты. Если злоумышленнику не удалось закрепиться в системе «классическим» способом, он может настроить автоматическое заражение системы, например, используя стандартный планировщик задач.

Разумеется, в каждом конкретном случае сценарий «закрепления в системе» может значительно отличаться от предложенного выше описания. Но, как мы говорили в начале статьи, для специалиста ИБ важно понимать принципы проведения атаки и уметь представлять себе задачи, которые решает злоумышленник. Так, на этапе закрепления основная задача злоумышленника – организовать надежный долгосрочный доступ к атакованной системе. В общем случае, решение задачи удаленного доступа состоит из двух частей: создание канала передачи данных и внедрение средства удаленного управления (бэкдора).

Анализ окружения

До, после или одновременно с закреплением в системе злоумышленнику необходимо собрать информацию об ОС и её конфигурации, установленных обновлениях, программах и средствах защиты. Эта информацию не только пригодится для оценки текущей ситуации и планирования следующих шагов атаки, но и крайне полезна для точного подбора необходимых утилит и эксплойтов.
Для сбора информации о системе обычно вполне достаточно имеющихся под рукой средств:

  • cmd, regedit, vbs, powershell в ОС Windows,
  • bash, grep, python, perl в Unix/Linux и Mac OS.

С точки зрения хакера, есть масса плюсов в том, чтобы использовать перечисленные утилиты – они есть в каждой системе, доступны даже с ограниченными правами пользователя, а их работа не контролируется большинством средств защиты. Для решения более сложных задач злоумышленники используют как широко известные, так и собственные утилиты, позволяющие перехватывать сетевой трафик, сканировать устройства в сети, подключаться к различным сетевым службам, используя доменную авторизацию, и т.д. При этом, если хакерские утилиты написаны, скажем, на python, то злоумышленники наверняка установят необходимое ПО на зараженный компьютер. В этом случае, python (и т.п.) скорее всего не будет скрыт в системе при помощи руткита, поскольку это может вызвать проблемы в работе интерпретатора.

Для поиска и анализа других устройств в корпоративной сети, злоумышленники применяют методы пассивного и активного сканирования. В частности, используя сниффер для прослушивания трафика с локального сетевого интерфейса, можно легко обнаружить различные устройства по ARP-пакетам или активным подключениям, определить адреса серверов, на которых расположены корпоративные приложения, такие как ActiveDirectory, Outlook, базы данных, корпоративные вебсайты и многие другие. Для получения детальной информации о конкретном узле сети злоумышленники используют сетевые сканеры (например, nmap), позволяющие определить доступные сетевые службы, угадать название и версию ПО, обнаружить присутствие сетевого экрана, IDS/IPS.

Распространение

После того, как злоумышленник закрепился в системе, организовал надежный канал для удаленного доступа и собрал достаточно информации о корпоративной сети, его дальнейшее действия обычно направлены на достижения исходной цели – это может быть кража конфиденциальной информации, атака на инфраструктуру компании, получение контроля над критическими системами с целью шантажа или же собственные нужды. За исключением случаев, когда изначально атакованная система, является конечной целью (например, ноутбук СЕО, центральный сервер или вебсайт), злоумышленнику необходимо захватить контроль над другими системами внутри корпоративной сети – в зависимости от выбранной цели заражение может быть точечным или массовым.

Например, для атаки на инфраструктуру скорее всего потребуется массовое заражение как серверов, обеспечивающих выполнение различных бизнес-процессов, так и рабочих станций операторов и администраторов. С другой стороны, для кражи конфиденциальной информации или шпионажа злоумышленнику придется действовать с большой осторожностью, атакуя только самые приоритетные системы.

Распространение внутри корпоративной сети может быть реализовано множеством способов. Так же, как в случае с закреплением в системе и анализом окружения, злоумышленники выбирают наиболее простые решения, в частности – использование существующих учетных записей. Например, запуская вредоносный код из-под доменной учетной записи пользователя зараженной системы, злоумышленник может свободно подключаться к различным сетевым сервисам (к которым у пользователя есть доступ) используя доменную авторизацию (Single Sign-On), т.е. без указания логина/пароля. С другой стороны, используя перехватчик ввода с клавиатуры, злоумышленник легко может получить логин/пароль как от доменной учетной записи, так и от других сервисов, не поддерживающих доменную авторизацию. Также злоумышленник может попытаться использовать уязвимости в механизмах хранения и проверки учетных данных или использовать перебор пароля.

Наиболее эффективным способом распространения внутри корпоративных сетей является эксплуатация уязвимостей, поскольку большая часть защиты корпоративной сети сосредоточена на предотвращении внешних атак. Как следствие, внутри сети можно встретить множество разнообразных уязвимостей, незащищенных корпоративных сервисов, тестовых серверов, систем управления/виртуализации и т.п. Практика показывает, что даже если специалистам ИБ и инженерам ИТ известно обо всех уязвимостях в корпоративной сети, их устранение длится годами, поскольку требует большого количества ресурсов (человеко-часов). Тем не менее, опытные хакеры с осторожностью используют эксплойты для известных уязвимостей, предпочитая атаковать незащищенные корпоративные сервисы – в случае, если в сети все же используется IDS/IPS (локальный или сетевой), использование эксплойтов для известных уязвимостей может привести к обнаружению злоумышленника.

Обнаружение атаки

На каждом этапе атаки злоумышленники часто используют окружение и имеющиеся под рукой средства в собственных целях, оставаясь незаметными на фоне активности обычных пользователей. Для решения этой проблемы необходимо уменьшать избыточность окружения и бизнес-процессов там, где это возможно, а во всех остальных случаях необходимо следить за тем, что происходит, выявлять аномалии и реагировать на них.

Наглядным примером избыточности в бизнес-процессах является свободный доступ к бизнес-активам (конфиденциальным документам, критичным приложениям, оборудованию и т.д.), права локального администратора и возможность удаленного подключения к корпоративной сети для тех, кому такие права и доступ не нужны. Сказанное относится не только к разделению прав на уровне домена, но и на уровне прикладного ПО – обычно браузерам не нужен доступ к памяти других процессов, а MS Office незачем устанавливать драйвера.

В качестве примера избыточности окружения можно привести наличие на компьютере рядового сотрудника (не являющегося разработчиком, тестировщиком, администратором или специалистом ИБ) ПО для перехвата сетевого трафика, сканирования сети, удаленного доступа, создания локального HTTP/FTP сервера, использования стороннего сетевого оборудования (Wi-Fi и 3G модемов), средств разработки ПО и т.д.

Эффективная стратегия по предотвращению атак внутри корпоративной сети заключается в том, чтобы не дать злоумышленнику действовать скрытно, вынудить его предпринимать сложные и рискованные шаги, которые позволят специалистам ИБ обнаружить факт атаки и вовремя нейтрализовать угрозу. Для этого в корпоративной сети необходимо иметь две вещи: умную защиту и систему управления информационной безопасностью (СУИБ). Информационная безопасность корпоративной сети, построенная на основе интеграции этих двух технологий, принципиально отличается от устоявшейся модели защиты, а именно – может видеть все, что происходит в сети, и незамедлительно реагировать на угрозы.

Умные средства защиты – это те же антивирусы, сетевые экраны, IDS/IPS/HIPS, Application Control, Device Control и т.д., но способные взаимодействовать с СУИБ. Такие средства защиты должны не только собирать и передавать в СУИБ всевозможную информацию, но и выполнять команды по блокированию попыток доступа, создания подключений, передачи данных по сети, запуска приложений, чтения и записи файлов и т.д. Конечно, чтобы все это работало, специалисту ИБ необходимо уметь отличать легитимную активность от вредоносной.

Статьи по теме: «Информационная безопасность»

Повышение уровня безопасности локальной вычислительной сети

Содержание статьи:

Локальная сеть состоит из серверов и рабочих станций. Сервером называют компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами, а рабочей станцией – собственно компьютер, с помощью которого пользователь подключается к ресурсам сети.

Локальная вычислительная сеть позволяет обеспечить доступ к системам электронного документооборота, общий доступ и совместное использование файлов и сетевых папок, доступ к офисной технике, например, принтеру или сканеру. Локальные сети являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей. Обычно они включают в себя сетевое оборудование; каналы передачи данных, такие как кабели, разъемы, серверы и пользовательские компьютеры; принтеры, сканеры; операционную систему, программное обеспечение; средства защиты, такие как межсетевые экраны, системы предотвращения и обнаружения вторжений и т. д.

Локальная вычислительная сеть позволяет подключать дополнительное оборудование без изменения программных и технических параметров всей сети, а также разграничивать уровень доступа к сетевым ресурсам отдельных устройств. Если в одной из рабочих станций возникает неисправность, это никак не влияет на работу остальных устройств и доступ к нужной информации, хранящейся в сети.

Основные угрозы безопасности вычислительных сетей

Выделяют три основных типа угроз, которым подвержены локальные вычислительные сети: раскрытие информации (доступ к конфиденциальным данным), нарушение целостности (изменение данных или их удаление) и отказ в обслуживании.

Реализуются эти угрозы посредством воздействий на локальные вычислительные сети – атак.

Угроза – это потенциально возможное событие, действие, которое может привести к нанесению ущерба в результате случайных действий или специального вмешательства в систему.

Цель большинства атак – получить доступ к конфиденциальным данным, в результате чего данные либо просто перехватываются, либо еще и искажаются.

Кроме того, существуют атаки, нацеленные не на получение доступа к сети или получение из нее какой-либо информации, а на лишение пользователей возможности пользоваться ресурсами локальной вычислительной сети.

Отказ в обслуживании

Реализуются с помощью DDoS-атак, которые направлены на уничтожение либо истощение ресурсов. В первом случае для DDoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы. Во втором случае атака осуществляется путем одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети. Результатом DDoS-атак становится частичная либо полная невозможность пользоваться ресурсами сети, к которым относятся память, процессорное время, дисковое пространство и т. д.

Читать еще:  Настройка линукс минт 19 после установки

Типичные примеры атак:

  • зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
  • передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
  • одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы (то есть замедление их работы, блокирование или разрушение).

Несанкционированный доступ

Угроза состоит в последовательности действий, которые приводят к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Несанкционированный доступ может быть вызван неправильной конфигурацией операционной системы. Наиболее распространенными способами получения несанкционированного доступа являются:

Буфер – это временная область памяти, которая используется программами для хранения данных при ожидании передачи, например, между областью данных приложения и другим устройством.

Сетевые сканеры безопасности: возможности, принцип работы и передовые решения

Одним из важнейших этапов обеспечения информационной безопасности является идентификация потенциальных рисков. Большинство ИТ-специалистов знают, насколько может быть опасна «брешь» в ОС и приложениях. И чрезвычайно важно найти эти «дыры», или на языке профессионалов — уязвимости, прежде, чем ими смогут воспользоваться недоброжелатели. Для этой цели и были созданы сканеры безопасности.

Сканер уязвимости сети: зачем он нужен?

Продвинутые специалисты по IT-безопасности используют в своей работе специализированное аппаратное или программное обеспечение, сканирующее сеть и ее устройства на предмет обнаружения слабых мест в системе безопасности. Это и есть сканеры уязвимости, или по-другому — безопасности, сети. Они проверяют используемые приложения, ищут «дыры», которыми могли бы воспользоваться хакеры, и предупреждают администратора о зонах риска системы. Грамотно используя сканер уязвимости сети, специалист может значительно усилить сетевую безопасность.

Таким образом, сетевые сканеры направлены на решение следующих задач:

  • идентификация и анализ уязвимостей;
  • инвентаризация ресурсов, таких как операционная система, программное обеспечение и устройства сети;
  • формирование отчетов, содержащих описание уязвимостей и варианты их устранения.

Сканер локальной сети — жизненно необходимое средство для компаний, чья деятельность напрямую связана с хранением и обработкой уникальных баз данных, конфиденциальной информации, ценных архивов. Без сомнения, сканеры сети необходимы организациям в сферах обороны, науки, медицины, торговли, IT, финансов, рекламы, производства, для органов власти и диспетчерских служб — словом, везде, где нежелательна или даже опасна утечка накопленной информации, имеются базы персональных данных клиентов.

Как сетевой сканер локальной сети обеспечивает ее безопасность?

Сканеры уязвимостей сети при своей работе используют два основных механизма. Первый — зондирование — не слишком оперативен, но точен. Это механизм активного анализа, который запускает имитации атак, тем самым проверяя уязвимость. При зондировании применяются методы реализации атак, которые помогают подтвердить наличие уязвимости и обнаружить ранее не выявленные «провалы».

Второй механизм — сканирование — более быстрый, но дает менее точные результаты. Это пассивный анализ, при котором сканер ищет уязвимость без подтверждения ее наличия, используя косвенные признаки. С помощью сканирования определяются открытые порты и собираются связанные с ними заголовки. Они в дальнейшем сравниваются с таблицей правил определения сетевых устройств, ОС и возможных «дыр». После сравнения сетевой сканер безопасности сообщает о наличии или отсутствии уязвимости.

В общем случае алгоритм работы сканеров следующий:

  • Проверка заголовков. Самый простой и быстрый способ на основе сканирования, однако имеющий ряд недостатков. Так, вывод о «провале» делается лишь по результатам анализа заголовков. К примеру, проверяя FTP-сервер, сканер узнает версию обеспечения и на основе этой информации сообщает о возможных уязвимостях. Естественно, специалисты по сетевой безопасности осведомлены о ненадежности этого метода, однако как первый шаг сканирования — это оптимальное решение, не приводящее к нарушению работы сети.
  • Активные зондирующие проверки (active probing check). Это сканирование, при котором не проверяется версия ПО, а сравнивается «цифровой слепок» фрагмента программы со «слепком» уязвимости. По тому же принципу действуют антивирусные программы, сравнивая ПО с имеющимися в базе сигнатурами вирусов. Тоже достаточно быстрый метод, хотя и медленнее первого, с большим коэффициентом надежности.
  • Имитация атак (exploit check). Это зондирование, которое эксплуатирует дефекты в программном обеспечении. Таким образом подается своеобразный импульс некоторым уязвимостям, которые не заметны до определенного момента. Эффективный метод, однако применить его можно не всегда. Так, вероятна ситуация, когда даже имитируемая атака просто отключит проверяемый узел сети.

Большинство современных сканеров безопасности сети работает по нижеперечисленным принципам:

  • сбор информации о сети, идентификация всех активных устройств и сервисов, запущенных на них;
  • обнаружение потенциальных уязвимостей;
  • подтверждение выбранных уязвимостей, для чего используются специфические методы и моделируются атаки;
  • формирование отчетов;
  • автоматическое устранение уязвимостей. Не всегда данный этап реализуется в сетевых сканерах безопасности, но часто встречается в сканерах системных. Существует возможность создания резервного сценария, который может отменить произведенные изменения, — например, если после устранения уязвимости будет нарушено полноценное функционирование сети.

Тем не менее каждый сканер из множества представленных сейчас на рынке выделяется своими функциями и возможностями. О них мы и поговорим далее.

Возможности современных программных решений

Одним из главных требований к современным сетевым сканерам уязвимостей, помимо собственно безопасности, является поддержка различных операционных систем. Большинство популярных сканеров — кроссплатформенные (включая мобильные и виртуальные ОС).

Сканеры сети исследуют сразу несколько портов, что снижает время на проверку. И конечно, сканер должен проверить не только операционную систему, но и программное обеспечение, особое внимание уделяя популярным в хакерской среде продуктам Adobe Flash Player, Outlook, различным браузерам.

К полезной функции сканеров нужно отнести и проверку раздробленной сети, что избавляет администратора от необходимости оценивать каждый узел в отдельности и несколько раз задавать параметры сканирования.

Современные сканеры просты в использовании, их работу можно настроить в соответствии с потребностями сети. Например, они позволяют задать перечень проверяемых устройств и типов уязвимостей, указать разрешенные для автоматического обновления приложения, установить периодичность проверки и предоставления отчетов. Получив подробный отчет об уязвимостях, одним нажатием кнопки можно задать их исправление.

Из дополнительных возможностей стоит выделить анализ «исторических» данных. Сохраненная история нескольких сканирований позволяет оценить безопасность узла в определенном временном интервале, оптимально настроить работу программного и аппаратного обеспечения.

Историческая справка

Первый сканер уязвимостей сети появился более 20-ти лет назад, в 1992 году. Он носил имя SATAN и поначалу встретил огромное сопротивление специалистов, не понимающих его истинного предназначения. С тех пор технологии шагнули далеко вперед: сканеры, в отличие от «прародителя», стали кроссплатформенными, менее требовательными к системным ресурсам, более простыми в установке и использовании.

Сравнение сканеров уязвимостей сети

Российский рынок сканеров сейчас огромен, и каждый производитель пытается привлечь на свою сторону большую часть пользователей, обещая широкие возможности при низких ценах. К сожалению, далеко не все ожидания оправдываются. Разберем сильные и слабые стороны сетевых сканеров, возглавляющих экспертные рейтинги.

GFI LanGuard

Одна из компаний-лидеров на рынке информационной безопасности — GFI Software. Компания работает с 1992 года и за это время заслужила репутацию надежной организации, производящей профессиональные продукты для решения широкого спектра ИТ-задач.

GFI LanGuard — программное средство, обеспечивающее централизованную проверку на уязвимости во всей сети. Достоинство сканера в том, что, помимо обнаружения открытых портов, небезопасных настроек и запрещенного к установке ПО, он проверяет обновления и патчи не только ОС (десктопных и мобильных, физических и виртуальных), но и установленного ПО. Сканер уязвимости проверяет все: от серверов до сетевого аппаратного обеспечения, от виртуальных машин до смартфонов.

Закончив сканирование, GFI LanGuard отправляет пользователю полный отчет с характеристиками всех уязвимостей и инструкциями по их ликвидации в ручном режиме. Дружелюбный интерфейс позволяет сразу же закрыть «провал» в защите, исправить настройки, обновить ПО (включая установку недостающих элементов), «снести» запрещенные программы. Сканер сетевой безопасности можно настроить на полностью автономный режим работы, в этом случае он будет запускаться по таймеру, а исправления, разрешенные администратором, будут выполняться автоматически.

Данный сканер уязвимостей сети имеет очень важное отличие от множества конкурентов. Он может автоматически обновлять устаревшее программное обеспечение и устанавливать обновления и патчи на разные операционные системы.

Множество ИТ-специалистов в России выбирают именно GFI LanGuard: не случайно он занимает верхние строчки в рейтингах сетевых сканеров.

Стоимость владения лицензией GFI LanGuard обойдется от 900 рублей на один узел в год. Цена вполне доступна даже для небольшой организации, особенно учитывая, сколько трудовых ресурсов экономит сетевой сканер безопасности.

Nessus

Проект был запущен еще в 1998 году, а в 2003 разработчик Tenable Network Security сделал сетевой сканер безопасности коммерческим. Но популярность продукта не упала. Согласно статистике более 17% пользователей предпочитают именно Nessus. Регулярно обновляемая база уязвимостей, простота в установке и использовании, высокий уровень точности — его преимущества перед конкурентами. А ключевой особенностью является использование плагинов. То есть любой тест на проникновение не зашивается наглухо внутрь программы, а оформляется в виде подключаемого плагина. Аддоны распределяются на 42 различных типа: чтобы провести пентест, можно активировать как отдельные плагины, так и все плагины определенного типа — например, для выполнения всех локальных проверок на Ubuntu-системе. Интересный момент — пользователи смогут написать собственные тесты с помощью специального скриптового языка.

Читать еще:  Linkedin профессиональная сеть

Количество загрузок (а их уже более пяти миллионов) говорит за все отзывы. Nessus — отличный сканер уязвимостей сетей. Но есть у него и два недостатка. Первый — при отключенной опции «safe checks» некоторые тесты на уязвимости могут привести к нарушениям в работе сканируемых систем. Второй — цена. Годовая лицензия может вам обойтись в 114 тысяч рублей.

Symantec Security Check

Бесплатный сканер одноименного производителя. Основные функции — обнаружение вирусов и троянов, интернет-червей, вредоносных программ, поиск уязвимостей в локальной сети. Это онлайн-продукт, состоящий из двух частей: Security Scan, которая проверяет безопасность системы, и Virus Detection, выполняющей полную проверку компьютера на вирусы. Устанавливается быстро и просто, работает через браузер. К сожалению, по итогам многих тестов уступает большинству конкурентов, хотя все свои основные функции выполняет. Согласно последним отзывам, этот сканер сети лучше использовать для дополнительной проверки.

XSpider

Компания Positive Technologies работает на рынке более 10-ти лет и обладает одним из крупнейших исследовательских центров безопасности. У этой корпорации тоже есть свой сетевой сканер — программа XSpider, которая, по заявлению разработчика, может выявить треть уязвимостей завтрашнего дня. Ключевой особенностью этого сканера является возможность обнаружения максимального количества «провалов» в сети еще до того, как их увидят хакеры. При этом сканер работает удаленно, не требуя установки дополнительного ПО. Отработав, сканер отправляет специалисту по безопасности полный отчет и советы по устранению «дыр».

Отдельно отметим систему обновления программных модулей и базы уязвимостей, функции одновременного сканирования большого числа рабочих станций и сетевых узлов, ведение полной истории проверок, встроенную документацию и механизм генерации детализированных отчетов. Также стоит отметить, что XSpider сертифицирован Минобороны и ФСТЭК России.

Стоимость лицензии на этот сканер начинается от 11 тысяч рублей на четыре хоста в год.

QualysGuard

Многофункциональный сканер уязвимостей. Он предоставляет обширные отчеты, которые включают:

  • оценку уровня критичности уязвимостей;
  • оценку времени, необходимого для их устранения;
  • проверку степени их воздействия на бизнес;
  • анализ тенденций в области проблем безопасности.

Фирма-разработчик продукта, Qualys, Inc., широко известна в мировой среде ИТ-специалистов, у которых этот сканер пользуется доверием. Достаточно сказать, что около 50-ти компаний из списка Forbes «Global 100» используют данный продукт.

Облачная платформа QualysGuard и встроенный набор приложений позволяют предприятиям упростить процесс обеспечения безопасности и снизить затраты на соответствие различным требованиям, при этом предоставляя важную информацию о безопасности и автоматизируя весь спектр задач аудита, комплекс-контроля и защиту ИТ-систем и веб-приложений. С помощью данного ПО можно сканировать корпоративные веб-сайты и получать автоматизированное оповещение и отчеты для своевременного выявления и устранения угроз.

Итак, при выборе сетевого сканера безопасности учитывайте перечень его возможностей, но не забывайте соизмерять функционал продукта с потребностями своей организации и ее материальными возможностями. Основное, что нужно в работе сканера, — широкий охват сети проверяемых устройств и узлов, простота в использовании и точность настроек, возможность автоматической работы, которая не будет отвлекать специалистов от повседневных задач. Однако, чтобы обеспечить сохранность данных компании, необходим комплекс мер. В частности, владельцам бизнеса стоит обратить внимание и на программы для корпоративного управления паролями, которые не только помогают надежно хранить данные, но и обеспечивают безопасный обмен информацией между сотрудниками.

Какой корпоративный менеджер паролей выбрать

Большинство современных программных комплексов имеют централизованное управление, т.е. у сотрудника-администратора есть доступ ко всей базе данных — это, несомненно, представляет угрозу безопасности компании. Так что стоит обращать внимание на системы, в которых каждому сотруднику доступны только его записи. Таким решением является корпоративный менеджер паролей KeepKeys: при его использовании увидеть записи без разрешения владельца не сможет даже администратор программы. Это минимизирует риск утраты всех ценных доступов по вине одного или нескольких сотрудников.

В отличие от существующих систем, которые ориентированы на индивидуальное использование, KeepKeys дает возможность предоставить пароль другому пользователю на определенное время или позволить ему управлять своими записями.

Защиту данных KeepKeys обеспечивает благодаря мониторингу сложности паролей, отслеживанию истории изменений, к тому же корпоративные данные защищены ассиметричным алгоритмом RSA 3072, симметричным AES 512.

К другим преимуществам KeepKeys относятся:

  • удобный доступ к личным данным;
  • возможность полной передачи данных от одного сотрудника к другому;
  • возможность коллективного использования доступов;
  • кроссплатформенность.

Уязвимости компьютерных сетей

Уязвимостью (vulnerability) называется любая характеристика инфoрмационной системы, испoльзование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленнo используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.

Прoблема уязвимостей и их oбнаружения исследуется oчень давнo, и за время ее существования предпринимались различные попытки классифицировать уязвимости по различным критериям.

В кoмпьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, возможно вызвать ее неправильную работу. Уязвимость может быть результатом ошибок программирования или недостатков, допущенных при проектировании системы. Уязвимость может существовать либо только теоретически, либо иметь известный эксплойт.

Уязвимoсти часто являются результатом беззаботнoсти программиста, но могут иметь и другие причины. Обычно уязвимoсть позволяет атакующему «oбмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либo образом в программу данных или кода в такие места, что программа вoспримет их как «свoи». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пoльзователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, Cross-Site Scripting(XSS)). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Некоторые специалисты oтстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сoобщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь пoсле задержки или не публиковать совсем. Такие задержки мoгут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения заплаток, нo также могут и увеличивать риск для тех, кто не посвящён в детали. Такие споры имеют длинную историю (см. полное раскрытие и безопасность через скрытие).

Существуют инструментальные средства, которые могут помочь в oбнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хoроший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их oценке.

Для обеспечения защищённости и целoстности системы необходимо пoстоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая Microsoft Windows, Mac OS, различные варианты UNIX (в том числе GNU/Linux) и OpenVMS. Так как новые уязвимости нахoдят непрерывно, единственный путь уменьшить вероятнoсть их использования против системы — пoстоянная бдительнoсть.

Самые частые методы взлома локальных сетей

Использование локальных сетей сопряжено с многочисленными рисками взлома внешнего периметра, порчи информации и кражи конфиденциальных данных. Для этого злоумышленники пользуются многочисленными приемами: подбирают пароли к учетным записям администратора и СУБД, эксплуатируют веб-уязвимости, используют недостатки устаревшего программного обеспечения и методы социальной инженерии.

Как киберпреступники взламывают локальные сети

Для того чтобы иметь возможность выполнять произвольный код, добывать нужную информацию, дискредитировать сайты своих «жертв», бывает достаточно проникнуть за внешний периметр локальной вычислительной сети. Это становится возможным по ряду причин:

  • неправильная политика управления учетными записями и паролями;
  • уязвимости используемого программного обеспечения, применение устаревших веб-приложений;
  • недостаток знаний сотрудников, не являющихся программистами, в области информационной безопасности;
  • неправильная политика разграничения доступа между различными пользователями.

Вопреки распространенному мнению, хакеры довольно редко пользуются недостаточно изученными «уязвимостями нулевого дня», а предпочитают действовать гораздо более простыми методами. Так, используя протоколы Telnet, SSH, RSH, RDP и специальное программное обеспечение вроде Radmin и Hydra злоумышленники проводят атаки на подбор учетных данных. Иногда не спасает даже фильтрация IP-адресов: умелые хакеры знают, как ее обойти. Да и сами системные администраторы часто используют слишком простые, примитивные логины и пароли — подобрать их можно с помощью словаря.

Атака на локальные сети предприятий может проводиться и через скомпрометированные административные учетные записи. Так, изменив расширение, можно загрузить веб-консоль и выполнять удаленно произвольный код.

Еще одной возможностью для злоумышленника являются SQL-инъекции. С помощью этого вносятся определенные изменения в базу данных, что позволяет получить административные права или совершить другие противоправные действия.

Наилучшего результата хакеры часто достигают с помощью методов социальной инженерии. Например, злоумышленник может позвонить сотруднику банка, и представившись сотрудником службы поддержки, выведать желаемые логины и пароли.

Часто в дополнение к этому используется фишинг, когда просят перейти на веб-сайт злоумышленника, как две капли воды похожий на официальный ресурс.

Как ИКС защищает локальные сети

Для защиты локальной сети от внешних атак необходимо использовать специальное программное обеспечение — ИКС-сервер. В этот программный комплекс включается сертифицированный сетевой экран, антивирус, детектор атак Suricata, шифровальщики туннелей и многое другое. В нем есть функции проверки целостности своего программного кода и восстановления его после сбоев, например, после хакерских и вирусных атак. Все события безопасности тщательно регистрируются для их дальнейшего анализа и принятия соответствующих выводов.

Предприятия малого и среднего бизнеса используют ИКС-сервер для защиты ЛВС не только от внешних вторжений, но и от утечки информации, намеренно организованной сотрудниками.

голоса
Рейтинг статьи
Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...
Ссылка на основную публикацию
Статьи c упоминанием слов:
Похожие публикации