33. előadás A hálózati támadások típusai és típusai

33. előadás

Téma: A hálózati támadások típusai és típusai

A távoli hálózati támadás információromboló hatás egy elosztott számítástechnikai rendszerre, amelyet programozottan, kommunikációs csatornákon keresztül hajtanak végre.

Bevezetés

A kommunikáció heterogén hálózati környezetben való megszervezéséhez egy sor TCP/IP protokollt használnak, amelyek biztosítják a kompatibilitást a különböző típusú számítógépek között. Ez a protokollkészlet a kompatibilitása és a globális internet erőforrásaihoz való hozzáférés biztosítása miatt vált népszerűvé, és az internetes munka szabványává vált. A TCP/IP protokollverem széles körben elterjedt alkalmazása azonban feltárta annak gyengeségeit is. Az elosztott rendszerek különösen emiatt ki vannak téve a távoli támadásoknak, mivel komponenseik általában nyílt adatátviteli csatornákat használnak, és a támadó nemcsak passzívan lehallgathatja a továbbított információkat, hanem módosíthatja a továbbított forgalmat is.

A távoli támadások észlelésének nehézsége és a megvalósítás viszonylagos egyszerűsége (a modern rendszerek redundáns funkcionalitása miatt) az ilyen típusú illegális akciókat az első helyre helyezi a veszély mértéke szempontjából, és megakadályozza a fenyegetésre adott időben történő reagálást, mivel aminek eredményeként a támadó növeli a támadás sikeres végrehajtásának esélyét.

A támadások osztályozása

A hatás természete szerint

Passzív

Aktív

Az elosztott számítástechnikai rendszerre (DCS) gyakorolt ​​passzív hatás olyan hatás, amely közvetlenül nem befolyásolja a rendszer működését, ugyanakkor sértheti annak biztonsági politikáját. Az RVS működésére gyakorolt ​​közvetlen befolyás hiánya éppen ahhoz vezet, hogy a passzív távoli befolyás (RPI) nehezen észlelhető. Egy tipikus PUV egy lehetséges példa a DCS-ben a kommunikációs csatorna figyelése a hálózatban.

Aktív hatás a DCS-re - olyan hatás, amely közvetlen hatással van a rendszer működésére (a funkcionalitás károsodása, a DCS konfigurációjának megváltozása stb.), amely sérti a benne elfogadott biztonsági politikát. Szinte minden típusú távoli támadás aktív hatás. Ez annak a ténynek köszönhető, hogy a károsító hatás természete magában foglal egy hatóanyagot is. Az aktív befolyás és a passzív befolyásolás közötti egyértelmű különbség az észlelésének alapvető lehetősége, hiszen megvalósítása következtében bizonyos változások következnek be a rendszerben. Passzív befolyás esetén egyáltalán nem marad nyoma (annak a ténynek köszönhetően, hogy a támadó megtekinti valaki más üzenetét a rendszerben, semmi sem fog változni ugyanabban a pillanatban).

A befolyásolás céljával

A rendszer működésének megsértése (a rendszerhez való hozzáférés)

Az információs források integritásának megsértése (IR)

Az IR titkosságának megsértése

Ez a tulajdonság, amellyel a besorolás történik, lényegében a fenyegetés három alapvető típusának – a szolgáltatásmegtagadás, a nyilvánosságra hozatal és az integritás megsértése – közvetlen vetülete.

Szinte minden támadás fő célja az információkhoz való jogosulatlan hozzáférés. Az információszerzésnek két alapvető lehetősége van: a torzítás és az elfogás. Az információ elfogásának lehetősége azt jelenti, hogy hozzá kell férni a változtatás lehetősége nélkül. Az információ lehallgatása ezért azok bizalmas jellegének megsértéséhez vezet. A hálózaton lévő csatorna hallgatása egy példa az információ elfogására. Ebben az esetben illegitim hozzáférés áll rendelkezésre az információkhoz anélkül, hogy lehetséges lenne a helyettesítés. Az is nyilvánvaló, hogy az információk bizalmas kezelésének megsértése passzív hatásokra utal.

Az információcsere képességét vagy a rendszerobjektumok közötti információáramlás teljes ellenőrzéseként, vagy a különböző üzenetek valaki más nevében történő továbbításának képességét kell érteni. Ezért egyértelmű, hogy az információ helyettesítése az integritás megsértéséhez vezet. Az ilyen információromboló befolyás tipikus példája az aktív befolyásnak. Az információ integritásának megsértésére tervezett távoli támadásra példa a „False RVS object” távoli támadás (RA).

A megtámadott objektumtól érkező visszajelzés megléte alapján

Visszajelzéssel

Nincs visszajelzés (egyirányú támadás)

A támadó néhány kérést küld a támadott objektumnak, amelyekre választ vár. Következésképpen visszacsatolás jelenik meg a támadó és a támadott között, lehetővé téve az előbbi számára, hogy megfelelően reagáljon a támadott objektum mindenféle változására. Ez a távoli támadás lényege, amelyet a támadó objektumtól érkező visszajelzések jelenlétében hajtanak végre. Az ilyen támadások leginkább az RVS-re jellemzőek.

A nyílt hurkú támadásokat az jellemzi, hogy nem kell reagálniuk a támadott objektum változásaira. Az ilyen támadásokat általában úgy hajtják végre, hogy egyetlen kérést küldenek a megtámadott objektumnak. A támadónak nincs szüksége válaszokra ezekre a kérésekre. Az ilyen UA-t egyirányú UA-nak is nevezhetjük. Az egyirányú támadások példája a tipikus DoS támadás.

A becsapódás kezdetének állapota szerint

A távoli befolyás, csakúgy, mint bármely más, csak bizonyos feltételek mellett kezdhető meg. Az RVS-ben háromféle feltételes támadás létezik:

Támadás kérésre a megtámadott objektumtól

Támadás a megtámadott objektumon várt esemény bekövetkeztekor

Feltétel nélküli támadás

A támadó hatása akkor kezdődik, ha a támadás lehetséges célpontja egy bizonyos típusú kérést továbbít. Az ilyen támadást a megtámadott objektum kérésére történő támadásnak nevezhetjük. Ez a típusú UA a legjellemzőbb az RVS-re. Ilyen kérések az interneten a DNS- és ARP-kérések, a Novell NetWare-ben pedig az SAP-kérés.

Támadás a megtámadott objektumra várt esemény bekövetkeztekor. A támadó folyamatosan figyeli a támadás távoli célpontjának operációs rendszerének állapotát, és elkezdi befolyásolni, hogy mikor történik egy adott esemény ebben a rendszerben. A támadott tárgy maga a támadás kezdeményezője. Ilyen esemény például az, hogy a felhasználó munkamenete a szerverrel megszakad a LOGOUT parancs kiadása nélkül a Novell NetWare-ben.

A feltétel nélküli támadás azonnal megtörténik, függetlenül az operációs rendszer és a támadott objektum állapotától. Ezért ebben az esetben a támadó a támadás kezdeményezője.

Ha a rendszer normál működése megszakad, más célokat követnek, és nem várható, hogy a támadó illegálisan hozzáférjen az adatokhoz. Célja az operációs rendszer letiltása a támadott objektumon, és lehetetlenné tenni, hogy más rendszerobjektumok hozzáférjenek az objektum erőforrásaihoz. Egy ilyen típusú támadásra példa a DoS támadás.

A támadás alanyának a megtámadott objektumhoz viszonyított elhelyezkedése szerint

Intraszegmentális

Számítógépes rendszereink különféle típusú támadásoknak vannak kitéve. A rendszer e támadásokkal szembeni védelme érdekében fontos ismerni a gyakori számítógépes támadásokat. A mai világban szinte általánossá vált, hogy személyi számítógépes rendszereket vagy hálózatokat támadnak meg. A technológia jelenlegi korában különféle típusú számítógépes támadások léteznek, amelyek ellen meg kell védeni értékes adatait, rendszereit és hálózatait. Míg egyes támadások egyszerűen károsíthatják a számítógépen lévő adatokat, vannak más támadások is, amelyek során a számítógépes rendszerből származó adatok is előfordulhatnak ellopni, valamint más támadásokat, ahol a teljes hálózat leállítható.

Egyszerűen fogalmazva, a támadásoknak két fő típusa van, a passzív támadások és az aktív támadások. törlésre kerül, vagy a hálózatok teljesen megsemmisülnek.

A számítógépes támadások aktív típusai

Vírus

A leghíresebb számítógépes támadások és vírusok már régóta léteznek. Ezeket a számítógépekre telepítik, és átterjednek a rendszer más fájljaira. Gyakran külső merevlemezeken, bizonyos internetes oldalakon vagy e-mail mellékletként terjesztik őket. Amint a vírusok elindulnak, függetlenek lesznek a készítőtől, és céljuk sok fájl és más rendszer megfertőzése.

Root Kit

A hackerek az illesztőprogramok gyökérkészletével hozzáférnek a rendszerhez, és átveszik az irányítást a számítógép felett. Ezek a legveszélyesebb számítógépes támadások közé tartoznak, mivel a hacker nagyobb irányítást szerezhet a rendszer felett, mint a rendszer tulajdonosa. Egyes esetekben a hackerek webkamerát is bekapcsolhatnak és figyelemmel kísérhetik az áldozat tevékenységét, mindent tudva róla.

trójai

A számítógépes támadások listáján a trójai falók a vírusok után a legmagasabbak. Gyakran vannak beágyazva egy szoftverbe, képernyővédőkbe vagy olyan játékokba, amelyek normálisan futnak vírussal vagy gyökérkészlettel. Más szavakkal, vírushordozóként vagy rootkitként működnek a rendszer megfertőzésére.

Féreg

A férgeket a vírusok rokonainak nevezhetjük. A vírusok és az internetes férgek közötti különbség az, hogy a férgek a felhasználó segítsége nélkül megfertőzik a rendszert. Az első lépés az, hogy a férgek átvizsgálják a számítógépeket a sebezhetőségekért. Ezután bemásolják magukat a rendszerbe és megfertőzik a rendszert, és a folyamat megismétlődik.

Passzív típusú számítógépes támadások

Hallgatózás

Ahogy a neve is sugallja, a hackerek lopva hallják a hálózaton lévő két számítógép között zajló beszélgetéseket. Ez történhet zárt rendszerben és az interneten keresztül is. Más nevek, amelyekhez ez kapcsolódik, leskelődés. A lehallgatással az érzékeny adatok átjuthatnak a hálózaton, és mások is hozzáférhetnek hozzájuk.

Jelszavas támadások

A kibertámadások egyik leggyakoribb típusa a jelszavas támadás. Itt a hackerek egy vezérlőjelszó megszerzésével jutnak hozzá a számítógéphez és a hálózati erőforrásokhoz adatok törlése Ezenkívül az adatok különböző hálózatokba továbbíthatók.

Kompromittált támadási kulcs

A bizalmas adatok tárolására titkos kód vagy szám használható a kulcs megszerzése kétségtelenül hatalmas feladat egy hacker számára, és lehetséges, hogy intenzív kutatás után a hacker valóban ráteheti a kezét a kulcsokra. Ha egy kulcs egy hacker birtokában van, azt feltört kulcsnak nevezik. A hacker mostantól hozzáférhet a bizalmas adatokhoz, és módosíthatja az adatokat. Ugyanakkor fennáll annak a lehetősége is, hogy a hacker megpróbálja a kulcsok különböző permutációit és kombinációit más érzékeny adatok eléréséhez.

Identitás megszemélyesítés

Minden számítógépnek van egy IP-címe, amely miatt érvényes és független a hálózaton. Az egyik gyakori számítógépes támadás egy másik számítógép azonosságának felvállalása. A hozzáférés megszerzése után a rendszeradatok törölhetők, módosíthatók vagy átirányíthatók. Ezen túlmenően a hacker a hálózaton belüli vagy kívüli más rendszereket is megtámadhatja.

Alkalmazásréteg támadások

Az alkalmazásszintű támadás célja a szerver operációs rendszerének összeomlása. Ha az operációs rendszerben hiba lép fel, a hacker hozzáférhet a szerver vezérléséhez . Vírus kerülhet a rendszerbe, vagy több kérés érkezhet a szerverre, ami a szerver összeomlását okozhatja, vagy letilthatók a biztonsági ellenőrzések, ami megnehezíti a szerver helyreállítását.

Ez volt néhány olyan típusú támadás, amelyeknek ki lehet téve a szervereket és az egyes számítógépes rendszereket. A legújabb számítógépes támadások listája napról napra bővül, amelyekre a hackerek új hackelési módszereket alkalmaznak.

Eljárás a hálózati támadások észlelésére.

1. A hálózati támadások osztályozása

1.1. Csomagszagolók

A packet sniffer egy olyan alkalmazási program, amely promiszkuális módban működő hálózati kártyát használ ( ebben a módban a hálózati adapter minden fizikai csatornán fogadott csomagot elküld az alkalmazásnak feldolgozásra). Ebben az esetben a szippantó elfog minden hálózati csomagot, amelyet egy adott tartományon keresztül továbbítanak.

1.2. IP-hamisítás

IP-hamisításról akkor beszélünk, ha egy hacker a rendszeren belül vagy kívül egy jogosult felhasználónak adja ki magát. Ezt kétféleképpen lehet megtenni. Először is, a hacker használhat olyan IP-címet, amely az engedélyezett IP-címek tartományán belül van, vagy olyan engedélyezett külső címet, amely hozzáférést biztosít bizonyos hálózati erőforrásokhoz. Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa erre a DoS támadás, amely valaki más címével kezdődik, elrejti a hacker valódi kilétét.

Az IP-hamisítás jellemzően hamis információk vagy rosszindulatú parancsok beszúrására korlátozódik a kliens és a kiszolgálóalkalmazások közötti normál adatfolyamba vagy a peer eszközök közötti kommunikációs csatornán keresztül. A kétirányú kommunikációhoz a hackernek módosítania kell az összes útválasztási táblát, hogy a forgalmat a hamis IP-címre irányítsa. Egyes hackerek azonban meg sem próbálnak választ kapni az alkalmazásoktól. Ha a fő feladat egy fontos fájl lekérése a rendszerből, az alkalmazások válaszai nem számítanak.

Ha egy hackernek sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a forgalmat, a hacker megkapja az összes csomagot, és úgy tud válaszolni rájuk, mintha jogosult felhasználó lenne.

1.3. szolgáltatás megtagadása ( Szolgáltatásmegtagadás – DoS)

A DoS a hackertámadások legismertebb formája. Az ilyen típusú támadások ellen a legnehezebb 100%-os védelmet létrehozni.

A DoS leghíresebb típusai:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Szentháromság.

A DoS támadások különböznek a többi támadástípustól. Nem céljuk a hálózathoz való hozzáférés, vagy a hálózatról információ beszerzése. A DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett határainak túllépésével elérhetetlenné teszi a hálózatot normál használatra.

Egyes szerveralkalmazások használatakor (például webszerver vagy FTP-szerver) A DoS-támadások olyan egyszerűek is lehetnek, mint az alkalmazások számára elérhető összes kapcsolat átvétele és elfoglaltsága, megakadályozva a normál felhasználók kiszolgálását. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP ( Internet Control Message Protocol). A legtöbb DoS támadás nem szoftverhibákon vagy biztonsági réseken alapul, hanem a rendszer architektúrájának általános gyengeségein. Egyes támadások megbénítják a hálózat teljesítményét azáltal, hogy nemkívánatos és szükségtelen csomagokkal vagy félrevezető információkkal árasztják el a hálózati erőforrások aktuális állapotáról. Ezt a fajta támadást nehéz megakadályozni, mert egyeztetést igényel az internetszolgáltatóval. Ha a hálózatot elárasztó forgalom nem állítható meg a szolgáltatónál, akkor a hálózat bejáratánál ezt már nem tudja megtenni, mert a teljes sávszélesség foglalt lesz. Ha az ilyen típusú támadást egyszerre több eszközön keresztül hajtják végre, a támadás egy elosztott DoS ( DDoS – elosztott DoS).

1.4. Jelszavas támadások

A hackerek jelszavas támadásokat hajthatnak végre számos módszerrel, például brute force ( nyers erő támadás), trójai faló, IP-hamisítás és csomagszimulálás. Bár a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszimulációval, a hackerek gyakran többszörös hozzáférési kísérletekkel próbálják kitalálni a jelszót és bejelentkezni. Ezt a megközelítést egyszerű felsorolásnak nevezik (brutális erőszakos támadás). Az ilyen támadások gyakran egy speciális programot használnak, amely megpróbál hozzáférni egy nyilvános forráshoz ( például a szerverre). Ha ennek eredményeként a hacker hozzáfér az erőforrásokhoz, akkor hozzáfér egy normál felhasználó jogaihoz, akinek a jelszavát kitalálták. Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a hacker létrehozhat egy "passot" a jövőbeni hozzáféréshez, amely akkor is érvényes marad, ha a felhasználó megváltoztatja jelszavát és bejelentkezési adatait.

Egy másik probléma akkor jelentkezik, ha a felhasználók ugyanazt ( még ha nagyon jó is) jelszó számos rendszer eléréséhez: vállalati, személyes és internetes rendszerekhez. Mivel a jelszó csak olyan erős, mint a leggyengébb gazdagép, a hacker, aki megtanulja a jelszót ezen a gazdagépen keresztül, hozzáfér az összes többi rendszerhez, amely ugyanazt a jelszót használja.

1.5. Man-in-the-Middle támadások

A Man-in-the-Middle támadáshoz a hackernek hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat. A támadások célja információk ellopása, az aktuális munkamenet lehallgatása és a privát hálózati erőforrásokhoz való hozzáférés, a forgalom elemzése és a hálózatról és annak felhasználóiról való információszerzés, DoS támadások végrehajtása, a továbbított adatok torzítása és jogosulatlan információk bevitele. hálózati munkamenetekbe.

1.6. Alkalmazás szintű támadások

Az alkalmazásszintű támadások többféle módon hajthatók végre. Ezek közül a leggyakoribb a szerverszoftver gyenge pontjainak kihasználása ( sendmail, HTTP, FTP). Ezeket a gyengeségeket kihasználva a hackerek az alkalmazást futtató felhasználóként hozzáférhetnek a számítógéphez ( ez általában nem egy egyszerű felhasználó, hanem egy kiváltságos rendszergazda rendszer hozzáférési jogokkal). Az alkalmazásszintű támadásokkal kapcsolatos információkat széles körben teszik közzé, hogy az adminisztrátorok javító modulok segítségével javíthassák a problémát ( foltok). Az alkalmazásszintű támadások fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Például egy webszerver egy ismert gyengeségét kihasználó hacker gyakran a 80-as portot használja TCP-támadáskor. Mivel a webszerver weblapokat biztosít a felhasználóknak, a tűzfalnak engedélyeznie kell a hozzáférést ehhez a porthoz. A tűzfal szempontjából a támadást a 80-as porton szokásos forgalomként kezelik.

1.7. Hálózati intelligencia

A hálózati intelligencia a hálózatról nyilvánosan elérhető adatok és alkalmazások segítségével történő információgyűjtésre vonatkozik. A hálózat elleni támadás előkészítésekor a hacker általában megpróbál a lehető legtöbb információt megszerezni róla. A hálózat felderítése DNS-lekérdezések, ping-sweep és portellenőrzés formájában történik. A DNS-lekérdezések segítenek megérteni, hogy kinek a tulajdonosa egy adott tartomány, és milyen címek vannak hozzárendelve az adott tartományhoz. Echo tesztelés ( ping sweep) a DNS segítségével feloldott címek segítségével láthatja, hogy egy adott környezetben mely gazdagépek futnak valójában. Miután megkapta a gazdagépek listáját, a hacker port-ellenőrző eszközöket használ az adott gazdagép által támogatott szolgáltatások teljes listájának összeállításához. Végül a hacker elemzi a gazdagépeken futó alkalmazások jellemzőit. Ennek eredményeként olyan információkat kapnak, amelyek felhasználhatók hackeléshez.

1.8. A bizalom megsértése

Ez a fajta cselekvés nem "támadás" vagy "támadás". A hálózaton belüli bizalmi kapcsolatok rosszindulatú kihasználását jelenti. Példa erre a tűzfalon kívülre telepített rendszer, amely bizalmi kapcsolatban áll a tűzfal belsejében telepített rendszerrel. Ha egy külső rendszert feltörnek, a hacker a bizalmi kapcsolat segítségével behatolhat a tűzfallal védett rendszerbe.

1.9. Port Forwarding

A porttovábbítás a bizalommal való visszaélés egyik formája, amikor egy kompromittált gazdagépet arra használnak, hogy a forgalmat olyan tűzfalon továbbítsák, amely egyébként elutasításra kerülne. Ilyen hozzáférést biztosító alkalmazás például a netcat.

1.10. Illetéktelen hozzáférés

Az illetéktelen hozzáférés nem tekinthető külön típusú támadásnak. A legtöbb hálózati támadást jogosulatlan hozzáférés céljából hajtják végre. A telnet bejelentkezés kitalálásához a hackernek először telnet promptot kell kapnia a rendszerén. A telnet porthoz való csatlakozás után egy üzenet jelenik meg a képernyőn "az erőforrás használatához engedély szükséges" (Ezen erőforrások használatához engedély szükséges). Ha ezt követően a hacker továbbra is próbálkozik a hozzáféréssel, akkor figyelembe veszik "jogosulatlan". Az ilyen támadások forrása lehet a hálózaton belül vagy kívül.

1.11. Vírusok és alkalmazások, mint pl "Trójai faló"

A kliens munkaállomások nagyon ki vannak téve a vírusoknak és a trójai programoknak. "Trójai faló"- ez nem programbetét, hanem egy valós program, ami hasznos alkalmazásnak tűnik, de valójában káros szerepet tölt be.

2. A hálózati támadások elleni küzdelem módszerei

2.1. A következő eszközök használatával mérsékelheti a csomagszimulálás veszélyét:

2.1.1. Hitelesítés – Az erős hitelesítés az első védekezés a csomagszippelés ellen. Alatt "erős" Megértjük, hogy ezt a hitelesítési módszert nehéz megkerülni. Ilyen hitelesítésre példa az egyszeri jelszavak ( OTP – Egyszeri jelszavak). Az OTP egy kéttényezős hitelesítési technológia, amely egyesíti azt, amivel rendelkezel, amit tudsz. A "kártya" alatt ( jelképes) olyan hardvert vagy szoftvert jelent, amely ( véletlenszerűen) egyedi, egyszeri jelszó. Ha egy hacker egy szippantó segítségével megtudja ezt a jelszót, akkor ez az információ haszontalan lesz, mert ekkor a jelszót már használták és visszavonták. A szippantás elleni küzdelem ezen módszere csak a jelszavak lehallgatása ellen hatékony.

2.1.2. Kapcsolt infrastruktúra – A hálózati környezetben történő csomagszippantás elleni küzdelem másik módja egy kapcsolt infrastruktúra létrehozása, ahol a hackerek csak azon a porton érhetik el a forgalmat, amelyhez csatlakoznak. A kapcsolt infrastruktúra nem szünteti meg a szippantás veszélyét, de jelentősen csökkenti annak súlyosságát.

2.1.3. Szippantásgátlók – A szippantás elleni küzdelem harmadik módja az, ha olyan hardvert vagy szoftvert telepítünk, amely felismeri a hálózaton futó szippantókat. Ezek az eszközök nem tudják teljesen kiküszöbölni a fenyegetést, de sok más hálózati biztonsági eszközhöz hasonlóan a teljes védelmi rendszer részét képezik. Úgy hívják "szagolóellenesek" mérje meg a gazdagép válaszidejét, és határozza meg, hogy a gazdagépeknek kell-e feldolgozniuk "külön" forgalom.

2.1.4. Kriptográfia – A csomagszippantás elleni küzdelem leghatékonyabb módja nem akadályozza meg a lehallgatást, vagy nem ismeri fel a szimatolók munkáját, de használhatatlanná teszi ezt a munkát. Ha a kommunikációs csatorna kriptográfiailag biztonságos, ez azt jelenti, hogy a hacker nem az üzenetet, hanem a titkosított szöveget (vagyis egy érthetetlen bitsorozatot) fogja el.

2.2. A hamisítás veszélye mérsékelhető ( de nem szűnt meg) a következő intézkedések segítségével:

2.2.1. Hozzáférés-vezérlés – Az IP-hamisítás megelőzésének legegyszerűbb módja a hozzáférés-vezérlés megfelelő konfigurálása. Az IP-hamisítás hatékonyságának csökkentése érdekében a hozzáférés-vezérlés úgy van beállítva, hogy elutasítson minden olyan forgalmat, amely olyan külső hálózatról érkezik, amelynek forráscíme a hálózaton belül kell hogy legyen. Ez segít az IP-hamisítás elleni küzdelemben, ahol csak a belső címek engedélyezettek. Ha néhány külső hálózati cím is engedélyezett, ez a módszer hatástalanná válik.

2.2.2. Az RFC 2827 szűrése – a vállalati hálózat felhasználóinak mások hálózatainak meghamisítására irányuló kísérleteinek leállítása. Ehhez vissza kell utasítani minden olyan kimenő forgalmat, amelynek forráscíme nem a Bank IP-címei közé tartozik. Ezt a típusú, "RFC 2827" néven ismert szűrést az internetszolgáltató is végrehajthatja ( ISP). Ennek eredményeként minden olyan forgalom, amely nem rendelkezik egy adott felületen várható forráscímmel, elutasításra kerül.

2.2.3. Az IP-hamisítás elleni küzdelem leghatékonyabb módszere ugyanaz, mint a csomagszimulálásnál: teljesen hatástalanná kell tenni a támadást. Az IP-hamisítás csak akkor működik, ha a hitelesítés IP-címeken alapul. Ezért a további hitelesítési módszerek bevezetése használhatatlanná teszi az ilyen típusú támadásokat. A kiegészítő hitelesítés legjobb típusa a kriptográfiai. Ha ez nem lehetséges, az egyszeri jelszavakkal végzett kéttényezős hitelesítés jó eredményt adhat.

2.3. A DoS támadások veszélye a következő módokon csökkenthető:

2.3.1. Hamisítás elleni funkciók – A hamisítás elleni funkciók megfelelő konfigurálása az útválasztókon és a tűzfalakon segít csökkenteni a DoS kockázatát. Ezeknek a funkcióknak tartalmazniuk kell legalább az RFC 2827 szűrést. Ha egy hacker nem tudja leplezni valódi személyazonosságát, nem valószínű, hogy támadást hajt végre.

2.3.2. Anti-DoS funkciók – Az útválasztókon és tűzfalakon a DoS elleni szolgáltatások megfelelő beállítása korlátozhatja a támadások hatékonyságát. Ezek a funkciók egy adott időpontban korlátozzák a félig nyitott csatornák számát.

2.3.3. A forgalom korlátozása ( forgalomkorlátozás) – megállapodás a szolgáltatóval ( ISP) a forgalom korlátozásáról. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Gyakori példa a csak diagnosztikai célokra használt ICMP-forgalom mennyiségének korlátozása. Támadások ( D) A DoS gyakran használja az ICMP-t.

2.3.4. IP-címek blokkolása – miután elemezte a DoS-támadást, és azonosította azon IP-címek tartományát, amelyekről a támadást végrehajtják, lépjen kapcsolatba szolgáltatójával a blokkoláshoz.

2.4. A jelszavas támadások elkerülhetők, ha nem használunk egyszerű szöveges jelszavakat. Az egyszeri jelszavak és/vagy a kriptográfiai hitelesítés gyakorlatilag kiküszöbölheti az ilyen támadások veszélyét. Nem minden alkalmazás, gazdagép és eszköz támogatja a fenti hitelesítési módszereket.

Ha hagyományos jelszavakat használ, olyan jelszót kell kitalálnia, amelyet nehéz kitalálni. A jelszó minimális hosszának legalább nyolc karakterből kell állnia. A jelszónak tartalmaznia kell nagybetűket, számokat és speciális karaktereket ( #, %, $ stb.). A legjobb jelszavakat nehéz kitalálni, és nehéz megjegyezni, így a felhasználóknak papírra kell írniuk a jelszavakat.

2.5. A középső támadások ellen csak titkosítással lehet hatékonyan felvenni a harcot. Ha egy hacker elkap egy titkosított munkamenetből származó adatokat, akkor a képernyőjén nem az elfogott üzenet jelenik meg, hanem egy értelmetlen karakterkészlet. Vegye figyelembe, hogy ha egy hacker információt szerez egy kriptográfiai munkamenetről ( például munkamenet kulcs), ez még titkosított környezetben is lehetővé teheti a Man-in-the-Middle támadást.

2.6. Lehetetlen teljesen kiküszöbölni az alkalmazásszintű támadásokat. A hackerek folyamatosan új sebezhetőségeket fedeznek fel és tesznek közzé az internetes alkalmazásprogramokban. A legfontosabb a jó rendszeradminisztráció.

Az ilyen típusú támadásokkal szembeni sebezhetőség csökkentése érdekében megtehető intézkedések:

• operációs rendszer naplófájljainak és hálózati naplófájljainak olvasása és/vagy elemzése speciális elemző alkalmazások segítségével;
• az operációs rendszerek és alkalmazások verzióinak időben történő frissítése és a legújabb korrekciós modulok telepítése ( foltok);
• támadásérzékelő rendszerek használata ( IDS).

2.7. Lehetetlen teljesen megszabadulni a hálózati intelligenciától. Ha letiltja az ICMP-visszhangot és a visszhangválaszt a szélső útválasztókon, akkor megszabadul a ping-teszteléstől, de elveszíti a hálózati hibák diagnosztizálásához szükséges adatokat. Ezenkívül előzetes ping-teszt nélkül is szkennelheti a portokat. Ez csak tovább tart, mivel nem létező IP-címeket kell átvizsgálnia. A hálózati és gazdagép szintű IDS-rendszerek általában jól értesítik a rendszergazdát a folyamatban lévő hálózati felderítésről, ami lehetővé teszi számukra, hogy jobban felkészüljenek egy közelgő támadásra, és értesítsék az internetszolgáltatót ( ISP), amelynek hálózatán túlzott kíváncsiságot mutató rendszer van telepítve.

2.8. A bizalom megsértésének kockázata csökkenthető a hálózaton belüli bizalomszint szigorúbb ellenőrzésével. A tűzfalon kívül található rendszereknek soha nem szabad abszolút bizalommal rendelkezniük a tűzfal által védett rendszerekben. A bizalmi kapcsolatokat meghatározott protokollokra kell korlátozni, és ha lehetséges, az IP-címektől eltérő paraméterekkel kell hitelesíteni.

2.9. A porttovábbítás elleni küzdelem fő módja az erős bizalmi modellek használata ( lásd a 2.8. pontot ). Ezenkívül az IDS gazdarendszer megakadályozhatja, hogy a hacker telepítse a szoftverét a gazdagépre ( HIDS).

2.10. A jogosulatlan hozzáférés elleni küzdelem módszerei meglehetősen egyszerűek. A fő dolog itt az, hogy csökkentse vagy teljesen megszüntesse a hacker azon képességét, hogy jogosulatlan protokoll segítségével hozzáférjen a rendszerhez. Példaként fontolja meg annak megakadályozását, hogy a hackerek hozzáférjenek a telnet porthoz egy olyan kiszolgálón, amely webszolgáltatásokat nyújt külső felhasználóknak. A porthoz való hozzáférés nélkül a hacker nem tudja megtámadni. Ami a tűzfalat illeti, fő feladata a legegyszerűbb jogosulatlan hozzáférési kísérletek megakadályozása.

2.11. A vírusok és trójai falók elleni küzdelem hatékony vírusirtó szoftverrel zajlik, amely felhasználói szinten és hálózati szinten is működik. A víruskereső termékek felismerik a legtöbb vírust és trójai falót, és megállítják terjedésüket.

3. Műveletek algoritmusa hálózati támadások észlelésekor

3.1. A legtöbb hálózati támadást az automatikusan telepített információbiztonsági eszközök blokkolják ( tűzfalak, megbízható rendszerindító eszközök, hálózati útválasztók, víruskereső eszközök stb.).

3.2. Azok a támadások, amelyek blokkolásához vagy a következmények súlyosságának csökkentéséhez személyzeti beavatkozást igényelnek, magukban foglalják a DoS-támadásokat.

3.2.1. A DoS támadásokat a hálózati forgalom elemzése észleli. A támadás kezdetét a „ kalapálás» kommunikációs csatornák erőforrás-igényes, hamis címekkel rendelkező csomagok használatával. Az online banki webhelyek ilyen jellegű támadása megnehezíti a jogos felhasználók hozzáférését, és a webes erőforrás elérhetetlenné válhat.

3.2.2. Ha a rendszer támadást észlel, a rendszergazda a következő műveleteket hajtja végre:

• manuálisan átkapcsolja az útválasztót a tartalék csatornára és vissza, hogy azonosítson egy kevésbé terhelt csatornát (szélesebb sávszélességű csatornát);
• azonosítja azon IP-címek tartományát, amelyekről a támadást végrehajtják;
• kérést küld a szolgáltatónak, hogy blokkolja a megadott tartományból származó IP-címeket.

3.3. A DoS támadást általában az ügyfélerőforrások elleni sikeres támadás álcázására használják, hogy megnehezítsék az észlelést. Ezért a DoS támadás észlelésekor elemezni kell a legfrissebb tranzakciókat a szokatlan tranzakciók azonosítása, (ha lehetséges) blokkolása érdekében, valamint a tranzakciók megerősítése érdekében alternatív csatornán keresztül kapcsolatba lépni az ügyfelekkel.

3.4. Ha az ügyféltől jogosulatlan cselekményekre vonatkozó információ érkezik, minden rendelkezésre álló bizonyítékot rögzítenek, belső vizsgálatot folytatnak le, és kérelmet nyújtanak be a bűnüldöző szervekhez.

ZIP fájl letöltése (24151)

Ha a dokumentumok hasznosak voltak, kérjük, dobjon rájuk egy „lájkot”:

A DoS- és DDoS-támadás a szerver vagy munkaállomás számítási erőforrásaira gyakorolt ​​agresszív külső hatás, amelyet azzal a céllal hajtanak végre, hogy ez utóbbit kudarcba hozza. Meghibásodáson nem egy gép fizikai meghibásodását értjük, hanem azt, hogy erőforrásai nem érhetők el a jóhiszemű felhasználók számára – a rendszer megtagadja a kiszolgálásukat ( D enial o f S ervice, amiből a DoS rövidítés származik).

Ha egy ilyen támadást egyetlen számítógépről hajtanak végre, az DoS (DoS), ha többről - DDoS (DiDoS vagy DDoS), ami azt jelenti, hogy "D osztják ki D enial o f S ervice" - elosztott szolgáltatásmegtagadás. Ezután arról fogunk beszélni, hogy a támadók miért hajtanak végre ilyen támadásokat, mik ezek, milyen károkat okoznak a megtámadottaknak, és hogyan védhetik meg az utóbbiak erőforrásaikat.

Ki szenvedhet DoS és DDoS támadásoktól?

A vállalatok vállalati szervereit és webhelyeit támadják meg, sokkal ritkábban az egyének személyi számítógépeit. Az ilyen cselekmények célja általában az, hogy gazdasági károkat okozzon a megtámadott személynek, és az árnyékban maradjon. Egyes esetekben a DoS és DDoS támadások a szerverhackelés egyik szakaszát jelentik, és információk ellopására vagy megsemmisítésére irányulnak. Valójában egy bárkihez tartozó cég vagy weboldal válhat támadók áldozatává.

A DDoS támadás lényegét bemutató diagram:

A DoS és DDoS támadásokat leggyakrabban tisztességtelen versenytársak indíttatására hajtják végre. Így egy hasonló terméket kínáló webáruház weboldalának „összeomlásával” átmenetileg „monopolistává” válhat, és annak vásárlóit magához veheti. Egy vállalati szerver „letételével” megzavarhatja egy versengő cég munkáját, és ezáltal csökkentheti piaci pozícióját.

A nagyszabású, jelentős károkat okozó támadásokat általában hivatásos kiberbűnözők hajtják végre nem kevés pénzért. De nem mindig. Erőforrásait megtámadhatják a saját nevelésű amatőr hackerek érdekből, bosszúállók az elbocsátott alkalmazottak közül, és egyszerűen azok, akik nem osztják az Ön nézeteit az életről.

Néha a hatást zsarolás céljából hajtják végre, miközben a támadó nyíltan pénzt követel az erőforrás tulajdonosától a támadás leállítása érdekében.

Az állami vállalatok és ismert szervezetek szervereit gyakran támadják meg magasan képzett hackerek névtelen csoportjai, hogy befolyásolják a hivatalokat, vagy közfelháborodást okozzanak.

Hogyan hajtják végre a támadásokat

A DoS és DDoS támadások működési elve, hogy nagy mennyiségű információt küldenek a szerverre, ami maximálisan (amennyire a hacker lehetőségei engedik) terheli a processzor számítási erőforrásait, a RAM-ot, eltömíti a kommunikációs csatornákat vagy betölti a lemezterületet. . A megtámadott gép nem tudja feldolgozni a bejövő adatokat, és nem válaszol a felhasználói kérésekre.

Így néz ki a normál szerverműködés, a Logstalgia programban megjelenítve:

Az egyszeri DOS-os támadások hatékonysága nem túl magas. Ezenkívül a személyi számítógépről érkező támadás annak a kockázatának teszi ki a támadót, hogy azonosítják és elkapják. Az úgynevezett zombihálózatokból vagy botnetekből végrehajtott elosztott támadások (DDoS) sokkal nagyobb hasznot hoznak.

A Norse-corp.com weboldal így jeleníti meg a botnet tevékenységét:

A zombihálózat (botnet) olyan számítógépek csoportja, amelyeknek nincs fizikai kapcsolata egymással. Közös bennük, hogy mindannyian egy támadó irányítása alatt állnak. Az irányítás egy trójai programon keresztül történik, amely egyelőre nem nyilvánul meg semmilyen módon. Támadás végrehajtásakor a hacker utasítja a fertőzött számítógépeket, hogy küldjenek kéréseket az áldozat webhelyére vagy szerverére. Ő pedig, mivel nem tud ellenállni a nyomásnak, abbahagyja a választ.

A Logstalgia így mutat egy DDoS támadást:

Teljesen bármely számítógép csatlakozhat egy botnethez. És még egy okostelefon is. Elég, ha elkap egy trójai programot, és nem észleli időben. A legnagyobb botnet egyébként csaknem 2 millió gépből állt szerte a világon, tulajdonosaiknak fogalmuk sem volt, mit csinálnak.

A támadás és védekezés módszerei

Mielőtt támadást indítana, a hacker kitalálja, hogyan hajtsa végre a maximális hatást. Ha a támadott csomópontnak több sebezhetősége is van, akkor a becsapódás különböző irányokba történhet, ami jelentősen megnehezíti az ellenlépést. Ezért fontos, hogy minden szerveradminisztrátor tanulmányozza minden „szűk keresztmetszetét”, és lehetőség szerint erősítse meg azokat.

Árvíz

Az özönvíz leegyszerűsítve olyan információ, amelynek nincs értelme. A DoS/DDoS támadásokkal összefüggésben az özönvíz egy vagy több szintű üres, értelmetlen kérések lavina, amelyeket a fogadó csomópont kénytelen feldolgozni.

Az elárasztás használatának fő célja a kommunikációs csatornák teljes eltömítése és a sávszélesség maximális telítése.

Az árvíz típusai:

• MAC flood – hatás a hálózati kommunikátorokra (a portok blokkolása az adatáramlással).
• ICMP elárasztás - az áldozat elárasztása szolgáltatási visszhang kérésekkel zombi hálózaton keresztül, vagy kérések küldése a megtámadott csomópont „nevében”, hogy a botnet minden tagja egyszerre küldjön neki visszhangválaszt (Smurf támadás). Az ICMP elárasztás speciális esete a ping flood (ping kérések küldése a szervernek).
• SYN flood - számos SYN kérés küldése az áldozatnak, túlcsordulás a TCP kapcsolati soron nagyszámú félig nyitott (kliens megerősítésre váró) kapcsolat létrehozásával.
• UDP flood - a Smurf támadási séma szerint működik, ahol az ICMP-csomagok helyett UDP-datagramokat küldenek.
• HTTP-áradás – a szerver elárasztása számos HTTP-üzenettel. Kifinomultabb lehetőség a HTTPS elárasztás, ahol az elküldött adatok előre titkosítva vannak, és mielőtt a támadott csomópont feldolgozná azokat, vissza kell fejtenie azokat.

Hogyan védekezhet az árvíz ellen

• Konfigurálja a hálózati kapcsolókat az érvényesség ellenőrzésére és a MAC-címek szűrésére.
• Korlátozza vagy letiltja az ICMP visszhangkérések feldolgozását.
• Egy adott címről vagy tartományról érkező csomagok blokkolása, amely okot ad a megbízhatatlanság gyanújára.
• Korlátozza a félig nyitott kapcsolatok számát egy címmel, csökkentse a tartási idejüket, és hosszabbítsa meg a TCP-kapcsolatok sorát.
• Tiltsa le az UDP-szolgáltatásokat a külső forgalom fogadásában, vagy korlátozza az UDP-kapcsolatok számát.
• Használjon CAPTCHA-t, késleltetéseket és egyéb botvédelmi technikákat.
• Növelje a HTTP-kapcsolatok maximális számát, konfigurálja a kérések gyorsítótárazását az nginx használatával.
• Bővítse a hálózati csatorna kapacitását.
• Ha lehetséges, szánjon külön szervert a kriptográfia kezelésére (ha van ilyen).
• Készítsen biztonsági mentési csatornát a szerver adminisztrátori hozzáféréséhez vészhelyzetekben.

Hardver túlterhelés

Vannak olyan típusú elárasztások, amelyek nem a kommunikációs csatornát, hanem a megtámadott számítógép hardveres erőforrásait érintik, teljes kapacitásukban betöltik azokat, és lefagyást vagy összeomlást okoznak. Például:

• Olyan szkript létrehozása, amely hatalmas mennyiségű értelmetlen szöveges információt tesz közzé egy fórumon vagy webhelyen, ahol a felhasználóknak lehetőségük van megjegyzéseket hagyni, amíg a teljes lemezterület meg nem telik.
• Ugyanez, csak a szervernaplók töltik ki a meghajtót.
• Olyan oldal betöltése, ahol a bevitt adatok valamilyen átalakítása történik, ezen adatok folyamatos feldolgozása (ún. „nehéz” csomagok küldése).
• A processzor vagy a memória betöltése kód futtatásával a CGI interfészen keresztül (a CGI támogatás lehetővé teszi bármilyen külső program futtatását a szerveren).
• A biztonsági rendszer kiváltása, a szerver kívülről elérhetetlenné tétele stb.

Hogyan védheti meg magát a hardver erőforrások túlterhelésétől

• Növelje a hardver teljesítményét és a lemezterületet. Ha a szerver normálisan működik, az erőforrások legalább 25-30%-ának szabadnak kell maradnia.
• Használjon forgalomelemző és szűrőrendszereket, mielőtt továbbítja a szerverre.
• Korlátozza a hardver erőforrások használatát a rendszerkomponensek szerint (kvóták beállítása).
• Tárolja a szerver naplófájljait egy külön meghajtón.
• Ossza el az erőforrásokat több szerver között egymástól függetlenül. Így ha az egyik alkatrész meghibásodik, a többi működőképes marad.

Sebezhetőségek az operációs rendszerekben, szoftverekben, eszköz firmware-ben

Mérhetetlenül több lehetőség van az ilyen típusú támadások végrehajtására, mint az elárasztásra. Megvalósításuk a támadó képzettségétől és tapasztalatától függ, valamint attól, hogy képes-e megtalálni a hibákat a programkódban, és azokat a saját javára és az erőforrás-tulajdonos kárára felhasználni.

Ha egy hacker egy sebezhetőséget fedez fel (a szoftver hibája, amivel megzavarhatja a rendszer működését), már csak létre kell hoznia és le kell futtatnia egy exploitot – egy olyan programot, amely kihasználja ezt a sérülékenységet.

A sérülékenységek kihasználásának célja nem mindig csak a szolgáltatás megtagadása. Ha a hackernek szerencséje van, átveheti az irányítást az erőforrás felett, és saját belátása szerint használhatja ezt a „sors ajándékát”. Használhatja például rosszindulatú programok terjesztésére, információk ellopására és megsemmisítésére stb.

Módszerek a szoftver sebezhetőségeinek kihasználása ellen

• Időben telepítse az operációs rendszerek és alkalmazások sebezhetőségeit fedő frissítéseket.
• Különítse el az adminisztrációs feladatok megoldására szánt összes szolgáltatást a harmadik fél hozzáférésétől.
• Használjon eszközöket a szerver operációs rendszer és a programok működésének folyamatos figyelésére (viselkedéselemzés stb.).
• A potenciálisan sebezhető programokat (ingyenes, saját készítésű, ritkán frissített) utasítsa el a bevált és jól védett programok javára.
• Használjon kész eszközöket a rendszerek védelmére a DoS és DDoS támadásokkal szemben, amelyek mind hardver-, mind szoftverrendszerek formájában léteznek.

Hogyan állapítható meg, hogy egy erőforrást megtámadt egy hacker

Ha a támadónak sikerül elérnie a célt, lehetetlen nem észrevenni a támadást, de bizonyos esetekben az adminisztrátor nem tudja pontosan meghatározni, hogy mikor kezdődött. Vagyis a támadás kezdetétől a észrevehető tünetekig néha több óra telik el. Azonban rejtett befolyás közben (amíg a szerver le nem megy) bizonyos jelek is jelen vannak. Például:

• A szerveralkalmazások vagy az operációs rendszer természetellenes viselkedése (lefagyások, hibás leállás stb.).
• A processzor, a RAM és a tárhely terhelése meredeken növekszik az eredeti szinthez képest.
• Jelentősen megnő a forgalom egy vagy több kikötőben.
• Több kérés érkezik az ügyfelektől ugyanahhoz az erőforráshoz (ugyanannak a webhelynek az oldalának megnyitása, ugyanazon fájl letöltése).
• A szerver-, tűzfal- és hálózati eszközök naplóinak elemzése nagyszámú monoton kérést mutat különböző címekről, amelyek gyakran egy adott portra vagy szolgáltatásra irányulnak. Különösen akkor, ha az oldal szűk közönséget céloz (például oroszul beszélő), és a világ minden tájáról érkeznek kérések. A forgalom kvalitatív elemzése azt mutatja, hogy a kéréseknek nincs gyakorlati jelentése az ügyfelek számára.

A fentiek mindegyike nem 100%-os jele a támadásnak, de mindig ok arra, hogy odafigyeljünk a problémára és megtegyük a megfelelő védekezési intézkedéseket.

Támadás besorolása

1. A hatás természete szerint

• passzív
• aktív

Passzív hatás egy elosztott számítástechnikai rendszerre- olyan hatás, amely közvetlenül nem érinti a rendszer működését, de sértheti annak biztonsági szabályzatát.

A passzív távoli expozíció gyakorlatilag nem észlelhető.

Példa: kommunikációs csatorna hallgatása a hálózaton.

Aktív befolyás egy elosztott számítástechnikai rendszerre- olyan hatás, amely közvetlen hatással van a rendszer működésére (a DCS konfigurációjának változása, meghibásodás stb.), és sérti az abban elfogadott biztonsági szabályzatot.

Szinte minden típusú távoli támadás aktív hatás. Az aktív befolyásolás sajátossága a passzív befolyásoláshoz képest az észlelésének alapvető lehetősége, hiszen megvalósítása következtében bizonyos változások következnek be a rendszerben. Az aktívtól eltérően a passzív expozíció nem hagy nyomot.

2. A befolyásolás célja szerint

• az információ titkosságának megsértése
• az információ integritásának megsértése
• a rendszer teljesítményének zavara (elérhetőség)

Az információ elfogása esetén megsértik annak titkosságát.

Példa: csatorna hallgatása a hálózaton.

Ha az információ torzul, sérti annak integritását.

Példa: hamis objektum bevitele a DVR-be.

Üzemzavar esetén nem történik illetéktelen hozzáférés, pl. Az információk sértetlensége és titkossága megmarad, de a törvényes felhasználók hozzáférése sem lehetséges.

3. A becsapódás kezdetének állapota szerint

• Támadás kérésre a megtámadott objektumtól
• Támadás a megtámadott objektumon várt esemény bekövetkeztekor
• Feltétel nélküli támadás

Kérelem esetén a támadó egy bizonyos típusú kérést vár a támadás lehetséges célpontjától, ami a hatás megindításának feltétele lesz.

Példa: DNS- és ARP-lekérdezések a TCP/IP-veremben.

Esemény esetén a támadó folyamatosan figyeli a támadás távoli célpontjának operációs rendszerének állapotát, és amikor egy bizonyos esemény bekövetkezik ebben a rendszerben, elkezdi befolyásolni azt.

A támadás kezdeményezője a megtámadott tárgy.

Példa: a felhasználó munkamenetének megszakítása egy szerverrel hálózati operációs rendszerekben a LOGOUT parancs kiadása nélkül.

Feltétel nélküli támadás esetén a megvalósítás kezdete a támadás célpontjához képest feltétel nélküli, azaz a támadást azonnal végrehajtják, függetlenül a rendszer és a támadott objektum állapotától. Ezért ebben az esetben a támadó a támadás kezdeményezője.

4. A megtámadott objektumtól érkező visszajelzés megléte alapján

• visszajelzéssel
• visszacsatolás nélkül (egyirányú támadás)

Visszajelzési támadás- támadás, amelynek során a támadó választ kap a megtámadott objektumtól cselekvései egy részére. Ezekre a válaszokra van szükség a támadás folytatásához és/vagy hatékonyabb végrehajtásához, reagálva a támadott rendszeren bekövetkező változásokra.

Támadás visszajelzés nélkül- olyan támadás, amely anélkül történik, hogy reagálna a megtámadott rendszer viselkedésére.

Példa: szolgáltatásmegtagadás (DoS).

5. A támadó helye szerint a megtámadott objektumhoz képest

• intraszegmentális
• interszegmentális

Szegmensen belüli támadás- olyan támadás, amelyben a támadás alanya és tárgya ugyanazon a hálózati szegmensen belül található, ahol a szegmens a kapcsolati szintnél nem magasabb kommunikációs eszközöket használó állomások fizikai kombinációja.

Szegmensek közötti támadás- olyan támadás, amelyben a támadás alanya és célpontja különböző hálózati szegmensekben található.

6. A támadók száma szerint

• megosztott
• kiosztatlan

Elosztott támadás- két vagy több támadó által végrehajtott támadás ugyanazon számítógépes rendszeren, egyetlen terv és idő által egyesítve.

Osztatlan támadás egy támadó hajtotta végre.

7. Az ISO/OSI referenciamodell azon szintjének megfelelően, amelyen a hatást végrehajtják

• fizikai
• csatorna
• hálózat
• szállítás
• ülésszakos
• reprezentatív
• alkalmazott

2. A támadások észlelésére és az ellenük való védekezésre szolgáló módszerek osztályozása

A biztonsági eszközök osztályozása

információk a modellszintekről ISO/OSI

ISO 7498-2 szabvány szerint.

Fizikai szint.

Az ezen a szinten biztosított szolgáltatások az ISO 7498-2 szabvány szerint a kapcsolat titkosságára és az adatfolyam titkosságára korlátozódnak. Ezek a lehetőségek szinte transzparensként, azaz további adatok megjelenése nélkül (kivéve a kapcsolat létesítését) megvalósíthatók.

Az integritás és a hitelesítés itt általában nem lehetséges, mivel ennek a rétegnek a bitszintjén az interfész nem képes az ezen szolgáltatások megvalósításához szükséges további adatok szállítására. A megfelelő titkosítási technológiák ezen a szinten történő alkalmazása azonban biztosíthatjaezeket az alapokat magasabb szinten.

Például az olyan kriptográfiai modellek, mint a DES kimeneti visszacsatolási módban, nem nyújtanak túl sokatA rejtjelezett szöveg módosítása során sok hiba történik, ezért ez a mód rossz választás lenne, ha többre van szükséged, mint a titkosságra. Ezzel szemben a DES mód, például az egybites visszacsatolási mód biztosítja a szükséges hibateljesítményt, és megfelelő alapot biztosíthat az integritáshoz és a hitelesítéshez. A fizikai és adatkapcsolati réteg titkosítási eszközeit általában kiegészítő hardver formájában valósítják meg.

Adatkapcsolati réteg

Az ISO 7498-2 szerint az adatkapcsolati rétegben biztosított lehetőségek a kapcsolatok és a datagramok titkossága.

A kapcsolati réteg titkosságát jellemzően pont-pont alapon biztosítják, hasonlóan a fizikai réteg titkosságához. Ismét az alapok hatálya kellvégződnek olyan helyeken, ahol egymással kölcsönhatásban lévő peer entitások, azaz végrendszerek és kapcsolók találhatók. LAN (WAN) környezetben a LAN technológiákon alapuló adatszórásos vagy multicast átvitelhez adatvédelmi eszközök, valamint pont-pont kapcsolat is biztosítható.

Hálózati réteg

A hálózati réteg titkossága biztosítható a hálózat végrendszerei között, függetlenül a használt kapcsolóktól (pl. X.25 csomagkapcsolók). Az ISO 7498-2 megjegyzi számos adatvédelmi szabályozás alkalmazhatóságát ezen a szinten: a kapcsolat titkossága, a datagramok bizalmas kezelése, az adatfolyam titkossága, az integritás (nem helyreállítási kapcsolatok és a datagramok esetében), az adatforrás és a kommunikáló entitások hitelesítése, valamint a hozzáférés szabályozása.

Szállítási réteg

A szállítási réteg számára az ISO 7498-2 szabvány a következő biztonsági intézkedéseket határozza meg: titkosság (kapcsolatok vagy datagramok esetében), integritás (bármi, kivéveegyedi mezők), az adatforrás és az interakciós entitások hitelesítése, valamint a hozzáférés-szabályozás. Csak egy különbség van a datagram kommunikációhoz biztosított titkosítási lehetőségek közöttszállítási réteg és a hálózati réteg felett kínált szolgáltatások. Ez abban rejlik, hogy képes védelmet nyújtani a közbenső rendszerekben (hálózati réteg mechanizmusait használva), és nem csak a végrendszerekben (szállítási réteg mechanizmusokat használva).

Munkamenet réteg

Az ISO 7498-2 nem teszi lehetővé a munkamenet szintű szolgáltatások biztosítását. Ez a szint az interakciós eszközök tekintetében keveset nyújt a közlekedéshez képest, illalkalmazási szint. Azon az elven alapulva, hogy nincs értelme olyan titkosságot biztosítani, amely összeegyeztethetetlen az adott réteg mögöttes interoperabilitással, vitatkozhatunk a munkameneti réteg titkosságának biztosítása ellen. Ezenkívül vitatható, hogy az adatvédelmi funkciók jobbak a szállítási, megjelenítési vagy alkalmazási rétegekben.

Képviselői szint

Mivel ezt a réteget az adatok normál és hálózati reprezentációk közötti konvertálására használják, előnyösebb az adatokat ebben a rétegben titkosítani, nem pedig az alkalmazási rétegben. Ha az alkalmazás titkosítást végez, akkor védreprezentatív szinten e funkció megvalósításától. Ez egy érv az alkalmazásszintű titkosítás megvalósítása ellen olyan alkalmazások esetében, amelyek közvetlenül (nem közvetítőkön keresztül) kommunikálnak. Ennek alternatívája a megjelenítési réteg képességeinek megkettőzése az alkalmazások között. A TCP/IP veremben ez az ütközés megoldódik, mivel a megjelenítési funkciók alkalmazásokba vannak beágyazva, nem pedig külön rétegbe.

Alkalmazási réteg

Az ISO 7498-2 kimondja, hogy minden titkos képesség biztosítható az alkalmazási rétegben, és a kommunikációs résztvevők feletti ellenőrzés csak ezen a rétegen biztosítható. Azonban bizonyos alapok biztosításaezen a szinten problémákat okoz a reprezentatív szint képességeivel való ütközés miatt. Ezt a korlátozást megkerülik a többlépcsős adatszolgáltatással rendelkező alkalmazások, mint például az e-mail vagykézikönyv (X.400 és X.500 specifikációk). Ezt a konfliktust a TCP/IP verem is kiküszöböli, amelyben a megjelenítési funkciók jellemzően szerepelnek az alkalmazásokban.

Valójában az olyan alkalmazások, mint az e-mail és a címtáreszközök, csak az alkalmazási réteg titkosításával védhetők. Az e-mail több okból is megköveteli a biztonságot ezen a szinten.

Először is, néhány általa használt titkosítási funkció csak ezen a szinten biztosítható, például a résztvevők vezérlése. Másodszor, az üzeneteket általában a címzettek csoportjainak címezték (multicast átvitel).alkalmazási réteg), és a kézbesítés több szakaszban történik üzenetkapcsolók segítségével. Az alacsonyabb szintű védelmet gyakran csak valós időben biztosítják a pont-pont kapcsolatok számára.

E-mailhezAz alacsonyabb szintű titkosítási mechanizmusok védelmet nyújthatnak a küldőtől az üzenetig kapcsolódva (MTA), az MTA-k között, az MTA-k és a címzettek között, de csak fokozatosan. A szerző-olvasó teljes körű adatvédelmének biztosítása e-mail-specifikus technológiák használatát igényli.

A címtáreszközök esetében hasonló problémák megakadályozzák, hogy az alacsonyabb szintű biztonsági eszközök megfelelően megfeleljenek az adatvédelmi követelményeknek. Például egy felhasználótól egy címtárszerverhez intézett kérés átirányítható más szerverekre a válasz kiadása során. Ha a kérelmet végső soron fogadó címtárszervernek a kérelmező személyazonossága alapján kell döntést hoznia a hozzáférés megadásáról, akkor ez a döntés nem hozható meg az alsóbb szintű protokolloktól származó információk alapján.

Ezenkívül, ha nem bízik a kérést továbbító kiszolgálókban, a válaszoló kiszolgáló nem lehet biztos bennehogy a kérést nem módosították. Ezért ez az alkalmazás, akárcsak az e-mail, az alkalmazásszintű titkosság kiváltó okát mutatja be, vagyis azt, hogy nem tud eleget tenni a titkossági követelményeknek pusztán az alsóbb szintű képességeken alapulóan.

A támadásészlelési módszerek osztályozása.

Érzékelési technológiával

· anomáliák észlelése

Ez a megközelítés a normál felhasználói viselkedés statisztikai modelljének kialakítására összpontosít. A mintától való eltérés a támadás jele. A megközelítés szenved attól, hogy túl sok téves riasztást generál.

· visszaélés észlelése

Ezzel a megközelítéssel a rendszer megkeresi az ismert aláírásokat, és vészjelzést ad, ha megtalálja azokat. Megbízhatóbb és megvalósíthatóbb. Szinte az összes ma a piacon kínált támadásérzékelő rendszer ezen a megközelítésen alapul. Most változások vannak az első megközelítés fejlesztésében.

Az észlelési szint szerint

A támadások észlelése hálózati szinten

A hálózati réteg támadásérzékelő rendszerei nyers hálózati csomagokat használnak adatforrásként az elemzéshez. A hálózati szintű behatolásészlelő rendszerek (IDS) általában egy hálózati adaptert használnak, amely promiscuous módban működik, és valós időben elemzi a forgalmat, amikor az áthalad a hálózati szegmensen. A támadásfelismerő modul négy jól ismert módszert használ a támadás aláírásának felismerésére:

· A forgalom megfelelése egy támadást vagy gyanús műveletet jelző mintának (aláírásnak), kifejezésnek vagy bájtkódnak;

· Az események gyakoriságának vagy egy küszöbérték túllépésének figyelemmel kísérése;

· Több alacsony prioritású esemény korrelációja;

· Statisztikai anomáliák kimutatása.

A támadás észlelése után a válaszmodul az értesítések, riasztások és a támadásra adott válaszintézkedések széles skáláját kínálja. Ezek a lehetőségek rendszerenként változnak, de jellemzően a következőket foglalják magukban: a rendszergazda értesítése konzolon vagy e-mailben, a kapcsolat megszakítása a támadó gazdagéppel és/vagy a munkamenet rögzítése későbbi elemzés és bizonyítékgyűjtés céljából.

A támadásérzékelő rendszerek előnyei hálózati szinten

A hálózati szintű IDS-ek számos előnnyel rendelkeznek, amelyek hiányoznak a rendszerszintű behatolásérzékelő rendszerekből. Valójában sok ügyfél használja a hálózati réteg behatolásérzékelő rendszerét annak alacsony költsége és időben történő reagálása miatt. Az alábbiakban felsoroljuk azokat a fő okokat, amelyek miatt a hálózati szintű támadások észlelése a hatékony biztonsági politika megvalósításának legfontosabb összetevője.

1.Alacsony működési költség . A hálózati réteg IDS-t a hálózat kritikus helyein kell telepíteni a több rendszer közötti forgalom szabályozásához. A hálózati rétegrendszerekhez nem szükséges behatolásérzékelő szoftvert telepíteni minden gazdagépre. Mivel az IDS-ek száma alacsony a teljes hálózat felügyeletére, a vállalati hálózatban való üzemeltetésük költsége alacsonyabb, mint a támadásérzékelő rendszerek rendszerszintű üzemeltetésének költsége.

2.A rendszerszinten elmulasztott támadások észlelése . A hálózati rétegbeli IDS-k megvizsgálják a hálózati csomagok fejléceit gyanús vagy ellenséges tevékenység szempontjából. A rendszerszintű IDS-k nem foglalkoznak a csomagfejlécekkel, ezért nem tudják észlelni az ilyen típusú támadásokat. Például sok hálózati támadás, mint például a szolgáltatásmegtagadás és a könnycsepp, csak a hálózaton áthaladó csomagfejlécek elemzésével azonosítható. Ez a fajta támadás gyorsan azonosítható egy hálózati réteg IDS segítségével, amely valós időben tekinti meg a forgalmat. A hálózati réteg IDS-ei megvizsgálhatják a csomag adattörzsének tartalmát, és megkereshetik az adott támadásokhoz használt parancsokat vagy specifikus szintaxist. Például, amikor egy hacker megpróbálja használni a Back Orifice programot olyan rendszereken, amelyeket még nem érint, ez a tény a csomag adattörzsének tartalmának vizsgálatával fedezhető fel. Mint fentebb tárgyaltuk, a rendszerszintű rendszerek nem működnek hálózati szinten, ezért nem képesek felismerni az ilyen támadásokat.

3.Egy hacker nehezebben tudja eltávolítani jelenlétének nyomait . A hálózati réteg IDS élő forgalmat használ a támadások valós idejű észlelésére. Így a hacker nem tudja eltávolítani jelenlétének nyomait. Az elemzett adatok nemcsak a támadás módjára vonatkozó információkat tartalmaznak, hanem olyan információkat is, amelyek segíthetnek a támadó azonosításában és a bíróság előtti bizonyításban. Mivel sok hacker nagyon jól ismeri a naplókat, tudják, hogyan kell manipulálni ezeket a fájlokat, hogy elrejtse tevékenységeik nyomait, csökkentve a rendszerszintű rendszerek hatékonyságát, amelyeknek szükségük van erre az információra a támadás észleléséhez.

4.Valós idejű észlelés és válaszadás . Hálózati szintű IDS észleli a gyanús és ellenséges támadásokat, MÉG TÖRTÉNIK, és ezért sokkal gyorsabb értesítést és választ ad, mint a rendszerszintű IDS. Például egy TCP-alapú hálózati réteg szolgáltatásmegtagadási támadást indító hacker megállítható azáltal, hogy a hálózati réteg IDS egy set Reset jelzőt küld a TCP-csomag fejlécében, hogy megszakítsa a kapcsolatot a támadó gazdagéppel, mielőtt a támadás pusztulást vagy kárt okozna. a célpont A rendszerszintű IDS-k általában nem ismerik fel a támadásokat, amíg a támadást naplózták, és a támadás naplózása után válaszolnak. Ezen a ponton előfordulhat, hogy a legkritikusabb rendszerek vagy erőforrások már veszélybe kerültek, vagy a rendszerszintű IDS-t futtató rendszer veszélybe kerülhet. A valós idejű értesítés lehetővé teszi, hogy gyorsan reagáljon az előre meghatározott paramétereknek megfelelően. Ezek a reakciók a megfigyelési módban történő beszivárgás engedélyezésétől a támadásról és a támadóról való információgyűjtés céljából a támadás azonnali befejezéséig terjednek.

5.Sikertelen támadások vagy gyanús szándékok észlelése . A tűzfalon kívülre telepített hálózati réteg IDS képes észlelni a tűzfal mögötti erőforrásokat megcélzó támadásokat, még akkor is, ha a tűzfal visszaveri ezeket a próbálkozásokat. A rendszerszintű rendszerek nem látnak olyan tükröződő támadásokat, amelyek nem érik el a tűzfal mögötti gazdagépet. Ez az elveszett információ lehet a legfontosabb a biztonsági politikák értékelése és fejlesztése során.

6.OS függetlenség . A hálózati szintű IDS-k függetlenek a vállalati hálózatra telepített operációs rendszerektől. A rendszerszintű behatolásészlelő rendszereknek speciális operációs rendszerekre van szükségük a megfelelő működéshez és a szükséges eredmények eléréséhez.

Rendszerszintű támadásérzékelés

Az 1980-as évek elején, a hálózatépítés felfutása előtt, a leggyakoribb támadásészlelési gyakorlat az volt, hogy a naplókat átnézték a gyanús tevékenységre utaló események után. A modern rendszerszintű támadásérzékelő rendszerek továbbra is hatékony eszközt jelentenek a múltbeli támadások megértésében és a megfelelő technikák azonosításában a jövőbeli visszaélések mérséklésére. A modern rendszerszintű IDS-k még mindig használnak naplókat, de automatizáltabbá váltak, és a legújabb matematikai kutatásokon alapuló kifinomult észlelési technikákat tartalmaznak.

Általában a rendszerszintű IDS figyeli a rendszert, az eseményeket és a biztonsági naplókat (biztonsági naplókat vagy rendszernaplókat) a Windows NT vagy Unix rendszert futtató hálózatokon.Ha ezen fájlok bármelyike ​​megváltozik, az IDS összehasonlítja az új bejegyzéseket a támadási aláírásokkal, hogy megnézze, van-e egyezés. Ha ilyen egyezést talál, a rendszer riasztást küld az adminisztrátornak, vagy más meghatározott válaszmechanizmusokat aktivál. A rendszerszintű IDS folyamatosan fejlődik, fokozatosan beépítve egyre több új észlelési módszert. Az egyik ilyen népszerű módszer az, hogy rendszeres időközönként ellenőrzi a kulcsfontosságú rendszer- és végrehajtható fájlok ellenőrző összegeit, nem történt-e jogosulatlan módosítás. A válaszadás időszerűsége közvetlenül összefügg a felmérés gyakoriságával. Egyes termékek figyelik az aktív portokat, és értesítik a rendszergazdát, ha valaki megpróbál hozzáférni.

A rendszerszintű támadásérzékelő rendszerek előnyei

Noha a rendszerszintű behatolásérzékelő rendszerek nem olyan gyorsak, mint hálózati szintű társaik, olyan előnyöket kínálnak, amelyeket ez utóbbiak nem. Ezek az előnyök magukban foglalják a szigorúbb elemzést, a gazdagép-specifikus eseményadatokra való fokozottabb odafigyelést és az alacsonyabb megvalósítási költségeket.

1.Megerősíti a támadás sikerességét vagy kudarcát . Mivel a rendszerszintű IDS-k a ténylegesen megtörtént események adatait tartalmazó naplókat használnak, az ebbe az osztályba tartozó IDS-ek nagy pontossággal tudják meghatározni, hogy egy támadás valóban sikeres volt-e vagy sem. Ebben a tekintetben a rendszerszintű IDS-ek kiválóan kiegészítik a hálózati szintű behatolásérzékelő rendszereket. Ez a kombináció korai figyelmeztetést biztosít a hálózati összetevőt használó támadások kezdetére és a rendszerkomponenst használó támadások sikerére.

2.Egy adott csomópont tevékenységét szabályozza . A rendszerszintű IDS figyeli a felhasználói tevékenységet, a fájlhozzáférést, a fájlengedélyek változásait, az új programok telepítésére irányuló kísérleteket és/vagy a privilegizált szolgáltatásokhoz való hozzáférési kísérleteket. Például egy rendszerszintű IDS képes figyelni a felhasználó összes bejelentkezési és kijelentkezési tevékenységét, valamint azokat a műveleteket, amelyeket az egyes felhasználók a hálózathoz való csatlakozáskor hajtanak végre. Egy hálózati rétegrendszer számára nagyon nehéz ilyen szintű eseményrészletet biztosítani. A rendszerszintű behatolásészlelési technológia olyan tevékenységeket is képes figyelni, amelyeket általában csak rendszergazda végezne. Az operációs rendszerek minden olyan eseményt naplóznak, ahol felhasználói fiókokat adnak hozzá, törölnek vagy módosítanak. A rendszerszintű IDS-k azonnal észlelhetik a megfelelő változást, amint az bekövetkezik. A rendszerszintű IDS-k ellenőrizhetik a biztonsági házirend-módosításokat is, amelyek befolyásolják, hogy a rendszerek hogyan követik nyomon a naplóikat stb.

Végső soron a rendszerszintű behatolásérzékelő rendszerek figyelhetik a kulcsfontosságú rendszerfájlok vagy végrehajtható fájlok változásait. Az ilyen fájlok felülírására vagy trójai programok telepítésére irányuló kísérletek észlelhetők és leállíthatók. A hálózati rétegrendszerek néha kihagyják ezt a fajta tevékenységet.

3.Olyan támadások észlelése, amelyeket a hálózati rétegrendszerek figyelmen kívül hagynak . A rendszerszintű IDS-k képesek észlelni azokat a támadásokat, amelyeket a hálózati szintű eszközök nem tudnak észlelni. Például magától a megtámadott szervertől származó támadásokat nem tudják észlelni a hálózati szintű támadásérzékelő rendszerek.

4.Kiválóan alkalmas titkosított és kapcsolt hálózatokhoz . Mivel a rendszerszintű IDS-t a vállalati hálózat különböző gazdagépeire telepítették, képes leküzdeni a hálózati szintű rendszerek kapcsolt és titkosított hálózatokon történő működtetése során felmerülő néhány kihívást.

A kapcsolás lehetővé teszi a nagyméretű hálózatok több kis hálózati szegmensként történő kezelését. Ennek eredményeként nehéz lehet meghatározni a legjobb helyet a hálózati réteg IDS telepítéséhez. Néha a portok és a tükrözési portok kezelése segíthet, de ezek a módszerek nem mindig alkalmazhatók. A támadások rendszerszintű észlelése hatékonyabb működést biztosít kapcsolt hálózatokban, mert... lehetővé teszi, hogy az IDS-t csak azokon a csomópontokon helyezze el, ahol szükség van rá.

A titkosítás bizonyos típusai kihívások elé állítják a hálózati réteg behatolásérzékelő rendszereit is. Attól függően, hogy hol történik a titkosítás (link vagy előfizető), a hálózati réteg IDS „vakon” maradhat bizonyos támadásokkal szemben. A rendszerszintű IDS-ekre ez a korlátozás nem vonatkozik. Ezenkívül az operációs rendszer, és így a rendszerszintű IDS elemzi a visszafejtett bejövő forgalmat.

5.Közel valós idejű észlelés és válaszadás . Noha a rendszerszintű támadásészlelés nem ad igazán valós idejű választ, megfelelő megvalósítás esetén közel valós idejű léptékben érhető el. Ellentétben a régi rendszerekkel, amelyek előre meghatározott időközönként ellenőrzik a naplók állapotát és tartalmát, sok modern rendszerszintű IDS megszakítást kap az operációs rendszertől, amint új naplóbejegyzés jelenik meg. Ez az új bejegyzés azonnal feldolgozható, jelentősen lerövidítve a támadás felismerése és az arra való reagálás közötti időt. Az operációs rendszer által a naplóba írt esemény és a behatolásészlelő rendszer általi felismerés között késleltetés marad, de sok esetben a támadó észlelhető és megállítható, mielőtt bármilyen kár keletkezne.

6.Nincs szükség további hardverre . A rendszerszintű behatolásérzékelő rendszerek a meglévő hálózati infrastruktúrára vannak telepítve, beleértve a fájlszervereket, webszervereket és egyéb használt erőforrásokat. Ez a képesség rendkívül költséghatékonyabbá teheti a rendszerszintű IDS-eket, mivel nincs szükségük másik csomópontra a hálózaton a felügyelethez, karbantartáshoz és kezeléshez.

7.Alacsony ár . Bár a hálózati szintű behatolásérzékelő rendszerek a teljes hálózat forgalmi elemzését biztosítják, gyakran meglehetősen drágák. Egy behatolásjelző rendszer költsége meghaladhatja a 10 000 dollárt. Másrészt a rendszerszintű behatolásérzékelő rendszerek ügynökenként több száz dollárba kerülnek, és a vevő megvásárolhatja azokat, ha a vevőnek csak a vállalat egyes csomópontjait kell figyelnie, a hálózati támadások figyelése nélkül.