r08.pdf

1. ZagroŇenia pþynĢce z Internetu

Bezpieczeıstwo to zagadnienie istotne zarwno dla firm jak i dla indywidualnych

uŇytkownikw. Internet to znakomite narzħdzie zarwno do dystrybucji informacji

o sobie jak i otrzymywaniu ich od innych, jednak z wszelkimi dobrodziejstwami globalnej

sieci zwiĢzana jest rwnieŇ pokaŅna liczba zagroŇeı. Przestħpstwa komputerowe takie jak

kradzieŇ informacji czy celowe niszczenie danych to tylko niektre z nich.

Najlepszym sposobem unikniħcia takiego biegu wydarzeı jest podjħcie dziaþaı

prewencyjnych zwiĢzanych z pozbawieniem moŇliwoĻci uzyskania dostħpu przez sieę do

maszyny. To pole zastosowaı dla firewalli (Ļcian ogniowych, zapr ogniowych).

1.1. Metody atakw

Oglnie metody wþamaı moŇemy podzielię na:

• ataki z zewnĢtrz sieci lokalnej

• ataki z wnħtrza sieci lokalnej

• ataki poĻrednie

1.1.1. Ataki z zewnĢtrz

SĢ to ataki, ktrych najczħstszĢ formĢ sĢ zakþcenia stabilnej pracy.

Przejmowanie kontroli nad systemami odbywa siħ z zewnĢtrz sieci lokalnej na

przykþad z Internetu. MoŇna w tym celu wykorzystaę lukħ w systemie

zabezpieczeı, bþĢd serwisu sieciowego lub po prostu sþaby poziom zabezpieczeı

firmy. Do najczħstszych tego typu atakw naleŇĢ:

• Ataki na poszczeglne komputery bĢdŅ serwer gþwny (DoS,wirusy) Î to

jeden z najczħstszych typw atakw. Konsekwencjami sĢ zwykle przerwy

w pracy sieci lokalnej, uszkodzenie poszczeglnych (bĢdŅ wszystkich)

koıcwek serwera, a co za tym idzie caþej sieci, co powoduje wielogodzinne

przerwy w pracy.

• Ataki na serwer http Î to ataki, ktrych efektem jest utrata danych witryny

internetowej lub uzupeþnienie jej treĻciami kompromitujĢcymi firmħ.

Do atakw z zewnĢtrz sieci hakerzy czħsto wykorzystujĢ metodħ zwanĢ DoS.

jest to atak majĢcy na celu zablokowanie konkretnego serwisu sieciowego (na

przykþad strony WWW) lub zawieszenie komputera. MoŇliwe jest

przesterowanie atakw DoS do bardziej skomplikowanych metod, co moŇe

doprowadzię nawet do awarii caþej sieci. Niejednokrotnie hakerzy, ktrzy

wþamujĢ siħ do systemw za pomocĢ tzw. techniki spoofingu lub redyrekcji,

ukrywajĢ swj prawdziwy adres internetowy, wiħc ich zlokalizowanie czħsto

staje siħ niemoŇliwe. AnonimowoĻę uþatwia wiħc zdecydowanie atakowanie

systemw metodĢ Denial of Service (DoS), co powoduje uniemoŇliwienie

wykonania przez serwer jakiejkolwiek usþugi.

S (maskarada) Î metoda ta stosowana jest zwykle przez doĻwiadczonych

i wyrafinowanych wþamywaczy. Polega na podszyciu siħ wþamywacza pod

jednego z uŇytkownikw systemu, ktry posiada wþasny numer IP (numer

identyfikujĢcy uŇytkownika). Technika ta ma na celu omijanie wszelkich

zabezpieczeı, jakie zastosowaþ administrator w sieci wewnħtrznej. Jest bardzo

skuteczna nawet, gdy bywa wykorzystywana przeciwko markowym firewallom,

switchom i ruterom. Dziħki niej moŇliwe jest áudawanieÑ dowolnego

uŇytkownika, a co za tym idzie ápodszywanieÑ siħ i wysyþanie sfaþszowanych

informacji. Ze swego komputera haker moŇe dokonaę przekierowania

Ņrdþowego adresu IP i ápodszyę siħÑ pod komputer sieciowy. Robi to po to, by

okreĻlię jego bezpoĻredniĢ drogħ do miejsca przeznaczenia oraz trasħ powrotnĢ.

W ten sposb moŇe przechwytywaę lub modyfikowaę transmisje bez zliczania

pakietw przeznaczonych dla komputera gþwnego. W przeciwieıstwie do

atakw polegajĢcych na rozsynchronizowaniu, ápodszywanie siħÑ pod adresy IP

jest trudne do wykrycia. JeĻli serwer internetowy ma moŇliwoĻę monitorowania

ruchu w sieci w zewnħtrznym ruterze internetowym, to naleŇy kontrolowaę

przechodzĢce przez niego dane. Do sieci nie powinny byę wpuszczane pakiety

zawierajĢce adresy komputera Ņrdþowego i docelowego, ktre mieszczĢ siħ w

obrħbie lokalnej domeny. NajlepszĢ obronĢ przed podszywaniem siħ jest

filtrowanie pakietw wchodzĢcych przez ruter z Internetu i blokowanie tych,

ktrych dane wskazujĢ na to, Ňe powstaþy w obrħbie lokalnej domeny.

1.1.2. Ataki z wnħtrza sieci

Ataki z wnħtrza sieci naleŇĢ do jednych z groŅniejszych. Wþamanie nastħpuje

z wnħtrza sieci lokalnej poprzez wykorzystanie konta jakiegoĻ uŇytkownika czy

teŇ luki w zabezpieczeniach systemu autoryzacji uŇytkownikw. NajczħĻciej

wþamania tego typu sĢ udziaþem pracownikw firmy, a nie uŇytkownikw

komputerw spoza jej obrħbu, gdyŇ dostħp do koıcwki Sieci takiej osoby

rzadko pozostaje zauwaŇony.

1.1.3. Ataki poĻrednie.

Hakerzy stosujĢ tu doĻę wyrafinowane metody, czego najlepszym przykþadem sĢ

konie trojaıskie. To grupa atakw najtrudniejszych do wykrycia. áPodþoŇenieÑ

konia trojaıskiego otwierajĢcego dostħp do caþej sieci moŇe odbyę siħ za

poĻrednictwem poczty elektronicznej czy teŇ podczas ĻciĢgania programu, ktry

pochodzi z niepewnego Ņrdþa. UŇytkownik prawie nigdy nie jest Ļwiadom tego,

Ňe ĻciĢgajĢc na przykþad najnowszĢ wersjħ odtwarzacza plikw mp3 faktycznie

otwiera dostħp do swojego komputera, a potem caþej Sieci osobom

niepowoþanym.

(podsþuchiwanie pakietw) jest to metoda zdobywania systemu

polegajĢca na przechowywaniu przesyþanych przez sieę niezaszyfrowanych

informacji. MoŇna w ten sposb zdobyę hasþo uŇytkownika i uzyskaę dostħp do

danego konta. Ataki polegajĢce na ábiernym wħszeniuÑ staþy siħ powszechne

w Internecie. StanowiĢ one zazwyczaj wstħp do aktywnego przechwytywania

cudzych plikw. Aby rozpoczĢę tego rodzaju atak, haker musi zdobyę

identyfikator i hasþo legalnego uŇytkownika, a nastħpnie zalogowaę siħ do Sieci.

Kiedy wykona juŇ te posuniħcia, moŇe bezkarnie podglĢdaę i kopiowaę

transmisje pakietw, zdobywajĢc jednoczeĻnie informacje o funkcjonowaniu

danej sieci lokalnej.

sĢ to ataki czħsto stosowane

przez osoby prbujĢce siħ wþamaę do sieci opartych na systemie operacyjnym

(takim jak UNIX, VMS i Windows NT), korzystajĢcym z mechanizmu

autoryzowanego dostħpu. DuŇe niebezpieczeıstwo niesie ze sobĢ tworzenie

plikw zawierajĢcych nazwy serwerw, do ktrych moŇna uzyskaę dostħp bez

podawania hasþa.

2. Zabezpieczenie za pomocĢ firewalla

Pojawiþ siħ problem zabezpieczenia prywatnych sieci przed nieautoryzowanym dostħpem

z zewnĢtrz. Administrator musi oddzielię lokalnĢ sieę od internetowego chaosu, Ňeby

dane nie dostaþy siħ w niepowoþane rħce lub nie zostaþy zmienione.

Rys.: Wydzielenie domen odseparowanych zaporĢ ogniowĢ

ńrdþo: Silberschatz A., Galvin P.: (2002). Podstawy systemw operacyjnych. Warszawa: WNT, strona: 754

Firewall moŇe zabezpieczyę sieę przed nieuprawnionym dostħpem z zewnĢtrz. Zakres

dostħpnych rozwiĢzaı siħga od dodatkowego oprogramowania do specjalnych urzĢdzeı,

ktre sþuŇĢ tylko do tego celu.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: