Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Проблемы безопасности протоколов TCP/IP

Содержание

Тема 9Проблемы безопасности протоколов TCP/IP
Владивостокский государственный университет экономики и сервиса Институт информатики, инноваций и бизнес систем Тема 9Проблемы безопасности протоколов TCP/IP Содержание: 1) Методы и инструменты2) Перехват данных3) Имперсонация4) Несанкционированное подключение к сети перехват данных, передаваемых через сеть от одного узла другому; имперсонация (spoofing) (узел Для достижения своих целей злоумышленник использует прослушивание (sniffing), сканирование сети Прослушивание сети Ethernet (а подавляющее большинство локальных сетей используют именно Злоумышленник, прослушивающий сеть, может быть обнаружен с помощью утилиты AntiSniff, Второй тест основан на предположении, что программа прослушивания на хосте Тесты третьей группы, наиболее универсальные. Тесты основаны на том, что Сканирование сети имеет своей целью выявление подключенных к сети компьютеров Генерация датаграмм или кадров произвольного формата и содержания производится не Простейшей формой перехвата данных является прослушивание сети. В этом случае Схема ARP-атаки Навязывание ложного маршрутизатора Имперсонация Для незаконного подключения к сети злоумышленник, разумеется, должен иметь физическую С целью обеспечения безопасности внутренней (корпоративной) сети на шлюзе могут Туннелирование сквозь маршрутизатор Атаки выполняются путем специально организованной посылки злоумышленником подтверждений приема данных Расщепление подтверждений Ложные дубликаты подтверждений Атаки типа «отказ в обслуживании» (DoS, denial of service), по-видимому, Атака smurf состоит в генерации шквала ICMP Echo-ответов, направленных на атакуемый узел.Атака Запретить пропуск датаграмм с широковещательным адресом. Запретить пропуск датаграмм, направленных из внутренней Запретить пропуск датаграмм с ICMP-сообщениями между сетью организации и Интернетом, кроме необходимых. Использование TCP Intercept для защиты от атак SYN flood. Фильтрация TCP-сегментов выполняется Использовать аутентификацию сообщений протоколов маршрутизации с помощью алгоритма MD5. Осуществлять фильтрацию маршрутов, Отключить на маршрутизаторе все ненужные сервисы. Ограничить доступ к маршрутизатору консолью или Запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес. Запретить обработку ICMP-сообщений Redirect, Отключить все ненужные сервисы TCP и UDP. Если входящие соединения обслуживаются супердемоном Использовать программу типа tcplogd, позволяющую отследить попытки скрытного сканирования. Использовать статическую ARP-таблицу Вопросы для самопроверки:Определите проблему качества обслуживания в сетях IP.В чем отличие коммутации Рекомендуемая литература:Мамаев М.А. Телекоммуникационные технологии (Сети TCP/IP). – Владивосток: Изд-во ВГУЭС, 2004.Леинванд Использование материалов презентацииИспользование данной презентации, может осуществляться только при условии соблюдения требований
Слайды презентации

Слайд 2 Тема 9

Проблемы безопасности протоколов TCP/IP

Тема 9Проблемы безопасности протоколов TCP/IP

Слайд 3 Содержание:
1) Методы и инструменты
2) Перехват данных
3) Имперсонация
4) Несанкционированное

Содержание: 1) Методы и инструменты2) Перехват данных3) Имперсонация4) Несанкционированное подключение к

подключение к сети и обмен данными
5) Принуждение к ускоренной

передаче данных
6) Отказ в обслуживании
7) Обсуждение

Слайд 4 перехват данных, передаваемых через сеть от одного узла

перехват данных, передаваемых через сеть от одного узла другому; имперсонация (spoofing)

другому;
имперсонация (spoofing) (узел злоумышленника выдает себя за другой

узел);
несанкционированное подключение к сети;
несанкционированная передача данных (обход правил фильтрации IP-трафика в сетях, защищенных брандмауэрами);
принуждение узла к передаче данных на завышенной скорости;
приведение узла в состояние, когда он не может нормально функционировать, передавать и принимать данные (DoS — denial of service, отказ в обслуживании).

1. Проблемы безопасности протоколов TCP/IP


Слайд 5 Для достижения своих целей злоумышленник использует

Для достижения своих целей злоумышленник использует прослушивание (sniffing), сканирование сети

прослушивание (sniffing), сканирование сети и генерацию пакетов. Под генерацией

пакетов понимается создание и отправка специально сконструированных датаграмм или кадров, позволяющих злоумышленнику выполнить ту или иную атаку. Особо выделим здесь фальсификацию пакетов, то есть создание IP-датаграмм или кадров уровня доступа к сети, направленных якобы от другого узла (spoofing).

Методы и инструменты


Слайд 6
Прослушивание сети Ethernet (а подавляющее большинство

Прослушивание сети Ethernet (а подавляющее большинство локальных сетей используют именно

локальных сетей используют именно эту технологию) является тривиальной задачей:

для этого нужно просто перевести интерфейс в режим прослушивания (promiscuous mode). Легко доступны программы, не только записывающие весь трафик в сегменте Ethernet, но и выполняющие его отбор по установленным критериям

Прослушивание сети


Слайд 7
Злоумышленник, прослушивающий сеть, может быть обнаружен

Злоумышленник, прослушивающий сеть, может быть обнаружен с помощью утилиты AntiSniff,

с помощью утилиты AntiSniff, которая выявляет в сети узлы,

чьи интерфейсы переведены в режим прослушивания.

Первый тест основан на особенностях обработки разными операционными системами кадров Ethernet, содержащих IP-датаграммы, направленные в адрес тестируемого узла.

AntiSniff


Слайд 8
Второй тест основан на предположении, что

Второй тест основан на предположении, что программа прослушивания на хосте

программа прослушивания на хосте злоумышленника выполняет обратные DNS-преобразования для

IP-адресов подслушанных датаграмм. AntiSniff фабрикует датаграммы с фиктивными IP-адресами, после чего прослушивает сеть на предмет DNS-запросов о доменных именах для этих фиктивных адресов. Узлы, отправившие такие запросы, находятся в режиме прослушивания.

Слайд 9 Тесты третьей группы, наиболее универсальные. Тесты

Тесты третьей группы, наиболее универсальные. Тесты основаны на том, что

основаны на том, что в режиме прослушивания обработка всех

кадров ложится на программное обеспечение злоумышленника, то есть, в конечном счете, на операционную систему. AntiSniff производит пробное тестирование узлов сети на предмет времени отклика на сообщения ICMP Echo, после чего порождает в сегменте шквал кадров, направленных на несуществующие MAC-адреса, при этом продолжая измерение времени отклика.

Слайд 10 Сканирование сети имеет своей целью выявление

Сканирование сети имеет своей целью выявление подключенных к сети компьютеров

подключенных к сети компьютеров и определение работающих на них

сетевых сервисов (открытых портов TCP или UDP). Первая задача выполняется посылкой ICMP-сообщений Echo с помощью программы ping с последовательным перебором адресов узлов в сети. Стоит попробовать отправить Echo-сообщение по широковещательному адресу — на него ответят все компьютеры, поддерживающие обработку таких сообщений.

Сканирование сети


Слайд 11
Генерация датаграмм или кадров произвольного формата

Генерация датаграмм или кадров произвольного формата и содержания производится не

и содержания производится не менее просто, чем прослушивание сети

Ethernet. Библиотека libnet обеспечит программиста всем необходимым для решения этой задачи. Библиотека libpcap предоставляет инструментарий для обратного действия - извлечения пакетов из сети и их анализа.

Генерация пакетов


Слайд 12 Простейшей формой перехвата данных является прослушивание

Простейшей формой перехвата данных является прослушивание сети. В этом случае

сети. В этом случае злоумышленник может получить массу полезной

информации: имена пользователей и пароли (многие приложения передают их в открытом виде), адреса компьютеров в сети, в том числе адреса серверов и запущенные на них приложения, адрес маршрутизатора, собственно передаваемые данные, которые могут быть конфиденциальными (например, тексты электронных писем) и т. п.

2. Перехват данных


Слайд 13 Схема ARP-атаки

Схема ARP-атаки

Слайд 14 Навязывание ложного маршрутизатора

Навязывание ложного маршрутизатора

Слайд 15 Имперсонация

Имперсонация

Слайд 16
Для незаконного подключения к сети злоумышленник,

Для незаконного подключения к сети злоумышленник, разумеется, должен иметь физическую

разумеется, должен иметь физическую возможность такого подключения. В крупных

корпоративных и особенно университетских сетях такая возможность часто имеется. Следующим шагом для злоумышленника является конфигурирование параметров стека TCP/IP его компьютера.

Несанкционированное подключение к сети


Слайд 17
С целью обеспечения безопасности внутренней (корпоративной)

С целью обеспечения безопасности внутренней (корпоративной) сети на шлюзе могут

сети на шлюзе могут использоваться фильтры, препятствующие прохождению определенных

типов датаграмм. Датаграммы могут фильтроваться по IP-адресам отправителя или получателя, по протоколу (поле Protocol IP-датаграммы), по номеру порта TCP или UDP, по другим параметрам, а также по комбинации этих параметров.

Несанкционированный обмен данными


Слайд 18 Туннелирование сквозь маршрутизатор

Туннелирование сквозь маршрутизатор

Слайд 19
Атаки выполняются путем специально организованной посылки

Атаки выполняются путем специально организованной посылки злоумышленником подтверждений приема данных

злоумышленником подтверждений приема данных (ACK-сегментов). Эти атаки эксплуатируют следующее

неявное допущение, заложенное в протокол TCP: один участник TCP-соединения полностью доверяет другому участнику в том, что тот действует в строгом соответствии с теми же спецификациями протокола, что и первый

Принуждение к ускоренной передаче данных


Слайд 20 Расщепление подтверждений

Расщепление подтверждений

Слайд 21 Ложные дубликаты подтверждений

Ложные дубликаты подтверждений

Слайд 22
Атаки типа «отказ в обслуживании» (DoS,

Атаки типа «отказ в обслуживании» (DoS, denial of service), по-видимому,

denial of service), по-видимому, являются наиболее распространенными и простыми

в исполнении. Целью атаки является приведение атакуемого узла или сети в такое состояние, когда передача данных другому узлу (или передача данных вообще) становится невозможна или крайне затруднена. Вследствие этого пользователи сетевых приложений, работающих на атакуемом узле, не могут быть обслужены

Отказ в обслуживании


Слайд 23 Атака smurf состоит в генерации шквала ICMP Echo-ответов,

Атака smurf состоит в генерации шквала ICMP Echo-ответов, направленных на атакуемый

направленных на атакуемый узел.
Атака SYN flood состоит в посылке

злоумышленником SYN-сегментов TCP на атакуемый узел в количестве большем, чем тот может обработать одновременно.
Атака UDP flood состоит в затоплении атакуемой сети шквалом UDP-сообщений.
Ложные DHCP-клиенты - создании злоумышленником большого числа сфальсифицированных запросов от различных несуществующих DHCP-клиентов.

Истощение ресурсов


Слайд 24 Запретить пропуск датаграмм с широковещательным адресом.
Запретить пропуск

Запретить пропуск датаграмм с широковещательным адресом. Запретить пропуск датаграмм, направленных из

датаграмм, направленных из внутренней сети в Интернет, но имеющих

внешний адрес отправителя.
Запретить пропуск датаграмм, прибывающих из Интернета, но имеющих внутренний адрес отправителя.
Запретить пропуск датаграмм с опцией «Source Route» и, если они не используются для групповой рассылки, инкапсулированных датаграмм.

Фильтрация на маршрутизаторе


Слайд 25 Запретить пропуск датаграмм с ICMP-сообщениями между сетью организации

Запретить пропуск датаграмм с ICMP-сообщениями между сетью организации и Интернетом, кроме

и Интернетом, кроме необходимых.
На сервере доступа клиентов по

коммутируемой линии — разрешить пропуск датаграмм, направленных только с или на IP-адрес, назначенный клиенту.
Запретить пропуск датаграмм с UDP-сообщениями, направленными с или на порты echo и chargen, либо на все порты, кроме используемых.

Фильтрация на маршрутизаторе


Слайд 26
Использование TCP Intercept для защиты от атак SYN

Использование TCP Intercept для защиты от атак SYN flood. Фильтрация TCP-сегментов

flood.
Фильтрация TCP-сегментов выполняется в соответствии с политикой безопасности:

разрешаются все сервисы, кроме запрещенных, или запрещаются все сервисы, кроме разрешенных (описывая каждый прикладной сервис в главе 3, мы будем обсуждать вопросы фильтрации сегментов применительно к сервису).

Фильтрация на маршрутизаторе


Слайд 27 Использовать аутентификацию сообщений протоколов маршрутизации с помощью алгоритма

Использовать аутентификацию сообщений протоколов маршрутизации с помощью алгоритма MD5. Осуществлять фильтрацию

MD5.
Осуществлять фильтрацию маршрутов, объявляемых сетями-клиентами, провайдером или другими

автономными системами. Фильтрация выполняется в соответствии с маршрутной политикой организации; маршруты, не соответствующие политике, игнорируются.
Использовать на маршрутизаторе, а также на коммутаторах статическую ARP-таблицу узлов сети организации.

Защита маршрутизатора


Слайд 28 Отключить на маршрутизаторе все ненужные сервисы.
Ограничить доступ

Отключить на маршрутизаторе все ненужные сервисы. Ограничить доступ к маршрутизатору консолью

к маршрутизатору консолью или выделенной рабочей станцией администратора, использовать

парольную защиту; не использовать telnet для доступа к маршрутизатору в сети, которая может быть прослушана.
Использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.

Защита маршрутизатора


Слайд 29
Запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес.

Запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес. Запретить обработку ICMP-сообщений


Запретить обработку ICMP-сообщений Redirect, Address Mask Reply, Router Advertisement,

Source Quench.
Если хосты локальной сети конфигурируются динамически сервером DHCP, использовать на DHCP-сервере таблицу соответствия MAC- и IP-адресов и выдавать хостам заранее определенные IP-адреса.

Защита хоста


Слайд 30
Отключить все ненужные сервисы TCP и UDP.
Если

Отключить все ненужные сервисы TCP и UDP. Если входящие соединения обслуживаются

входящие соединения обслуживаются супердемоном inetd, то использовать оболочки TCP

wrappers или заменить inetd на супердемон типа xinetd или tcpserver, позволяющий устанавливать максимальное число одновременных соединений, список разрешенных адресов клиентов, выполнять проверку легальности адреса через DNS и регистрировать соединения в лог-файле.

Защита хоста


Слайд 31 Использовать программу типа tcplogd, позволяющую отследить попытки скрытного

Использовать программу типа tcplogd, позволяющую отследить попытки скрытного сканирования. Использовать статическую

сканирования.
Использовать статическую ARP-таблицу узлов локальной сети.
Применять средства

безопасности используемых на хосте прикладных сервисов.
Использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.

Защита хоста


Слайд 32 Вопросы для самопроверки:
Определите проблему качества обслуживания в сетях

Вопросы для самопроверки:Определите проблему качества обслуживания в сетях IP.В чем отличие

IP.
В чем отличие коммутации от маршрутизации? Какова выгода от

использования технологий коммутации при передаче трафика в IP-сетях?
Какие преимущества имеет IP версии 6 над версией 4?
Какие меры защиты от атак необходимы маршрутизатору и хосту?
В чем отличие стандартный и расширенных листов доступа?
Какие методы перехвата данных вы знаете?



Слайд 33 Рекомендуемая литература:
Мамаев М.А. Телекоммуникационные технологии (Сети TCP/IP). –

Рекомендуемая литература:Мамаев М.А. Телекоммуникационные технологии (Сети TCP/IP). – Владивосток: Изд-во ВГУЭС,

Владивосток: Изд-во ВГУЭС, 2004.
Леинванд А., Пински Б. Конфигурирование маршрутизаторов

Cisco. 3-е издание. – М.: "Вильямс", 2007.
Мамаев М., Петренко С. Технологии защиты информации в Интернете. Специальный справочник. – СПб: "Питер", 2005.
Вегешна Ш. Качество обслуживания в сетях IP - М.: "Вильямс", 2003.

  • Имя файла: problemy-bezopasnosti-protokolov-tcpip.pptx
  • Количество просмотров: 140
  • Количество скачиваний: 3