Список категорий

Поддержать автора проекта

Если материал сайта вам помог в решении той или иной проблемы, пожалуйста, поддержите автора проекта любой суммой. Все вырученные средства пойдут на оплату серверов :)

Хочу помочь

› Сетевая атака: Атаки на уровне приложений

Сетевая атака: Атаки на уровне приложений

Категория: Обеспечение безопасности корпоративных сетей / Добавил: Артём

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернет все новые уязвимые места прикладных программ. Самое главное здесь — хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

  • Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
  • Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).

Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS). Существуют две взаимодополняющие друг друга технологии IDS:

  • сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;
  • хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.

В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является ее способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Источник: Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей

Теги: , , .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи