Семестр Лекция 4 Сетевые атаки
Перехват сетевых данных
Атаки на перехват сетевых данных:
Пассивные – взломщик может только принимать информацию, проходящую по контролируемому им сегменту сети;
Активные – взломщик может влиять на информацию, передаваемую п контролируемому им сегменту сети.
Пассивные атаки на перехват данных:
· Сетевой снифинг; (программа CaptureNet и Cain&Abel)
· «Снятие» информации с линии связи.
Активные атаки на перехват данных:
§ Включение компьютера в «разрыв» сети;
§ Ложные запросы (ARP, DNS);
Каждый компьютер может иметь 3 адреса: физический (MAC), логический (IP), символьный, доменное(сетевое) имя/ За соответствие между физическим и логическим адресом отвечает протокол ARP (AddressResolutionProtocol). Служба DNS отвечает за соответствие между символьным и логическим адресом, которая реализуется на 13-ти основных корневых серверах (для сети Интернет) и огромном количестве дублирующих серверов, содержащих информацию либо о конкретной зоне, либо выполняющие функции посредников (прокси).
Алгоритм атаки «Ложный запрос ARP»
· Злоумышленник определяет MAC-адреса хостов А и В.
· Злоумышленник отправляет на выявленные МАС-адреса хостов А и В сообщения, представляющие собой фальсифицированные ARP-ответы на запросы разрешения IP-адресов хостов в MAC-адреса компьютеров. Хосту А сообщается что IP-адресу хоста В соответствует МАС-адрес компьютера злоумышленника; хосту В сообщается, что IP-адресу хоста А также соответствует МАС-адрес компьютера злоумышленника.
· Хосты А и В заносят полученные МАС-адреса в свои кэши ARP и далее используют их для отправки сообщений друг другу
§ Ложная маршрутизация;
§ Перехват TCP-соединения.
В современных сетях для передачи данных на транспортном уровне используются 2 протокола: UDP и TCP. UDP протокол поддерживает широковещательную передачу и отличается высокой скоростью, а TCP – протокол, гарантирующий доставку сообщения в правильном порядке.
Перехват данных в радиосетях
Радиосети отличаются тем, что у них неограничен доступ к среде передачи данных и дальность распространения радиосигнала и его приема определяется не только передатчиком, но и приемником.
Wi-Fi
Первоначально, защита от перехвата в сетях Wi-Fi была реализована путем шифрования данных протоколом WEP, с ключом шифрования 40 бит. Ограничение в 40 бит было установлено АНБ США для всех экспортируемых алгоритмов шифрования. Впоследствии это ограничение было снято и появилась версия WEP256 с длиной ключа 256 бит. В 2008 году был введен стандарт WPA (Wi-FiProtectAccess), включающий в себя 2 подпротокола: EAP (протокол аутентификации) и ITKP с изменяющимися ключами. При внедрении стандарта 802.11n для защиты используется обновленный стандарт WPA2 поддерживающий алгоритм шифрования AES. До утверждения этого стандарта производителями оборудования выпускались устройства на основе так называемого «чернового» варианта стандарта (n-draft). Примерно за 1.5-2 месяца до утверждения стандарта стали продаваться устройства с маркировкой n-draft2, при этом наблюдались сбои при попытке соединить устройства разных производителей.
Принципы безопасности сети Bluetooth.
При разработке стандарта Bluetooth в основу были положены следующие принципы безопасности:
§ Конфиденциальность (защита от несанкционированного доступа к данным)
Реально обеспечивается ключом шифрования длиной от 8 до 256 бит с шагом 8 бит, определяется самым слабым участником сети.
§ Защита от подлога данных (имитозащита данных)
§ Признание авторства (невозможность отказа от факта передачи определенной информации);
Реально основано на уникальности аппаратного адреса.
§ Обеспечение высокой эффективности передачи данных.
Общие проблемы радиосетей Bluetooth и Wi-Fi.
§ Отсутствие до недавнего времени в стандартах надежных алгоритмов шифрования, аутентификации и имитозащиты;
§ Несовместимые «дополнительные» технологии различных производителей оборудования;
§ Сложность с ручной настройкой сети и политики безопасности;
§ Возможны конфликты при наличии рядом нескольких сетей одного стандарта.
Методы защиты от атак на перехват данных:
§ Проверка сетевого оборудования и кабелей;
§ Шифрование передаваемых сообщений;
§ Разделение сетей на сегменты.
Современные сети на коммутаторах в устоявшимся режиме обеспечивают микросегментацию: 1 сегмент-1 порт.
Дата добавления: 2018-08-06; просмотров: 352; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!