Использование PPPoA с Alcatel SpeedTouch™ USB. Команды сжатия PPP
Проблемы безопасности IP-сетей
Анализ угроз сетевой безопасности.
Для организации коммуникаций в неоднородной сетевой среде применяется набор протоколов ТСР/IР, обеспечивающий совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/IP, поэтому большинство компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Интернет.
Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. Создавая свое детище, архитекторы стека TCP/IP не видели причин особенно беспокоиться о защите сетей, строящихся на его основе. Поэтому в спецификациях ранних версий протокола IP отсутствовали требования безопасности, что привело к изначальной уязвимости его реализации.
Стремительный рост популярности интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т.д.
Каждый день хакеры и другие злоумышленники подвергают угрозам сетевые информационные ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки становятся все более изощренными по воздействию и несложными в исполнении. Этому способствуют два основных фактора.
Во-первых, это повсеместное проникновение Интернета. Сегодня к этой сети подключены миллионы компьютеров. Многие миллионы компьютеров будут подключены к Интернету в ближайшем будущем, поэтому вероятность доступа хакеров к уязвимым компьютерам и компьютерным сетям постоянно возрастает. Кроме того, широкое распространение Интернета позволяет хакерам обмениваться информацией в глобальном масштабе.
Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает требования к уровню знаний злоумышленника. Раньше от хакера требовались хорошие знания и навыки программирования, чтобы создавать и распространять вредоносные программы. Теперь, для того чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.
Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющие выход в общедоступные сети передачи данных.
Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие способен осуществить обычный оператор, даже не предполагающий, какие последствия может иметь его деятельность.
Нарушитель, осуществляя атаку, обычно ставит перед собой следующие цели:
v нарушение конфиденциальности передаваемой информации;
v нарушение целостности и достоверности передаваемой информации;
v нарушение работоспособности системы в целом или отдельных ее частей.
С точки зрения безопасности распределенные системы характеризуются прежде всего наличием удаленных атак , поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие). И если активное воздействие на трафик может быть зафиксировано, то пассивное воздействие практически не поддается обнаружению. Но поскольку в ходе функционирования распределенных систем обмен служебной информацией между компонентами системы осуществляется тоже по открытым каналам передачи данных, то служебная информация становится таким же объектом атаки, как и данные пользователя.
Трудность выявления факта проведения удаленной атаки выводит этот вид неправомерных действий на первое место по степени опасности, поскольку препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.
Безопасность локальной сети по сравнению с безопасностью межсетевого взаимодействия отличается тем, что в этом случае на первое по значимости место выходят нарушения зарегистрированных пользователей , поскольку в основном каналы передачи данных локальной сети находятся на контролируемой территории и защита от несанкционированного подключения к ним реализуется административными методами.
На практике IP-сети уязвимы для ряда способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (например, с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IP-сети постоянно расширяется [Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. М.: ДМК Пресс, 2004.].
Рассмотрим наиболее распространенные виды сетевых атак.
Подслушивание (sniffing) . По большей части данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в вашей сети, подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.
В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако, ввиду того что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват пароля (password sniffing) , передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.
В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает атрибуты нового пользователя, которые можно в любой момент использовать для доступа в сеть и к ее ресурсам.
Предотвратить угрозу сниффинга пакетов можно с помощью следующих
мер и средств:
v применение для аутентификации однократных паролей;
v установка аппаратных или программных средств, распознающих
снифферы;
v применение криптографической защиты каналов связи.
Изменение данных.
Злоумышленник, получивший возможность прочитать
ваши данные, сможет сделать и следующий шаг - изменить их. Данные в
пакете могут быть изменены, даже если злоумышленник ничего не знает ни
об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой
конфиденциальности всех передаваемых данных, наверняка вы не захотите,
чтобы они были изменены по пути.
Анализ сетевого трафика.
Целью атак подобного
типа являются прослушивание каналов связи и анализ передаваемых
данных и служебной информации с целью изучения топологии и архитектуры
построения системы, получения критической пользовательской информации
(например, паролей пользователей или номеров кредитных карт, передаваемых
в открытом виде). Атакам данного типа подвержены такие протоколы, как FTP
или Telnet, особенностью которых является то, что имя и пароль пользователя
передаются в рамках этих протоколов в открытом виде.
Подмена доверенного субъекта.
Большая часть сетей и операционных
систем использует IP-адрес компьютера для того, чтобы определять, тот ли
это адресат, который нужен. В некоторых случаях возможно некорректное
присвоение IP-адреса (подмена IP-адреса отправителя другим адресом) - такой
способ атаки называют фальсификацией адреса
(IP-spoofing).
IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Злоумышленник может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Злоумышленник может также использовать специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.
Атаки IP-спуфинга часто являются отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами.
Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
v правильная настройка управления доступом из внешней сети;
v пресечение попыток спуфинга чужих сетей пользователями своей сети.
Следует иметь в виду, что IP-спуфинг может быть осуществлен при условии проведения аутентификации пользователей на базе IP-адресов, поэтому введение дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии) позволяет предотвратить атаки IP-спуфинга.
Посредничество. Атака типа «посредничество» подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными.
Посредничество в обмене незашифрованными ключами (атака Man-in-the-Middle). Для проведения атаки Man-in-the-Middle (человек в середине) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.
В более общем случае атаки Man-in-the-Middle проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа Man-m-the-Middle можно только с помощью криптографии. Для противодействия атакам этого типа используется инфраструктура управления открытыми ключами PKI (Public Key Infrastructure).
Перехват сеанса (Session hijacking) . По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например, с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.
После получения доступа к сети у атакующего злоумышленника появляются большие возможности:
v он может посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию;
v он может также наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в связи с перегрузкой;
v наконец, атакующий может блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.
Отказ в обслуживании (Denial of Service, DoS). Эта атака отличается от атак других типов. Она не нацелена на получение доступа к вашей сети или на извлечение из этой сети какой-либо информации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. По существу, эта атака лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.
Большинство атак DoS опирается на общие слабости системной архитектуры. В случае использования некоторых серверных приложений (таких, как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская
обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет - протоколы, такие как TCP и ICMP (Internet Control Message Protocol).
Атаки DoS трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будет занята.
Если атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке отказа в обслуживании DDoS (distributed DoS).
Простота реализации атак DoS и огромный вред, причиняемый ими организациям и пользователям, привлекают к этим атакам пристальное внимание администраторов сетевой безопасности.
Парольные атаки. Целью этих атак является завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы, как:
v О подмена IP-адреса (1Р-спуфинг);
v подслушивание (сниффинг);
v простой перебор.
IP-спуфинг и сниффинг пакетов были рассмотрены выше. Эти методы позволяют завладеть паролем и логином пользователя, если они передаются открытым текстом по незащищенному каналу.
Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название атака полного перебора (brute force attack ). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя. Если этот пользователь имеет значительные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Средства перехвата, подбора и взлома паролей в настоящее время считаются практически легальными и официально выпускаются достаточно большим числом компаний. Они позиционируются как программы для аудита безопасности и восстановления забытых паролей, и их можно на законных основаниях приобрести у разработчиков.
Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации.
При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т.д.).
Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Хотя узнать ключ доступа тяжело и требуются большие затраты ресурсов, тем не менее это возможно. В частности, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровывать и изменять данные.
Атаки на уровне приложений. Эти атаки могут проводиться несколькими способами. Самый распространенный из них состоит в использовании известных слабостей серверного программного обеспечения (FTP, HTTP, Web-сервера).
Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран.
Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.
Невозможно полностью исключить атаки на уровне приложений. Хакеры постоянно открывают и публикуют на своих сайтах в Интернете все новые уязвимые места прикладных программ.
Здесь важно осуществлять хорошее системное администрирование. Чтобы снизить уязвимость от атак этого типа, можно предпринять следующие меры:
v анализировать log-файлы операционных систем и сетевые log-файлы с помощью специальных аналитических приложений;
v отслеживать данные CERT о слабых местах прикладных программ;
v пользоваться самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами);
v использовать системы распознавания атак IDS (Intrusion Detection Systems).
Сетевая разведка - это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.
Сетевая разведка проводится в форме запросов DNS,
эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате добывается информация, которую можно использовать для взлома.
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса.
Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
Злоупотребление доверием. Данный тип действий не является атакой в полном смысле этого слова. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Типичным примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.
Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном.
Отношения доверия должны ограничиваться определенными протоколами и по возможности аутентифицироваться не только по IP-адресам, но и по другим параметрам. Вредоносные программы. К таким программам относятся компьютерные вирусы, сетевые черви, программа «троянский конь».
Вирусы представляют собой вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Вирус обычно разрабатывается злоумышленниками таким образом, чтобы как можно дольше оставаться необнаруженным в компьютерной системе. Начальный период «дремоты» вирусов является механизмом их выживания. Вирус проявляется в полной мере в конкретный момент времени, когда происходит некоторое событие вызова, например пятница 13-е, известная дата и т.п.
Разновидностью программы-вируса является сетевой червь, который распространяется по глобальной сети и не оставляет своей копии на магнитном носителе. Этот термин используется для именования программ, которые, подобно ленточным червям, перемещаются по компьютерной сети от одной системы к другой. Червь использует механизмы поддержки сети для определения узла, который может быть поражен. Затем с помощью этих же механизмов червь передает свое тело в этот узел и либо активизируется, либо ждет подходящих условий для активизации. Сетевые черви являются опасным видом вредоносных программ, так как объектом их атаки может стать любой из миллионов компьютеров, подключенных к глобальной сети Интернет. Для защиты от червя необходимо принять меры предосторожности против несанкционированного доступа к внутренней сети.
К компьютерным вирусам примыкают так называемые «троянские кони»
(троянские программы). «Троянский конь» - это программа, которая имеет вид полезного приложении я, а на самом деле выполняет вредные функции (разрушение программного
обеспечения, копирование и пересылка злоумышленнику файлов с конфиденциальными данными и т.п.). Опасность «троянского коня» заключается в дополнительном блоке команд, вставленном в исходную безвредную программу, которая затем предоставляется пользователям АС. Этот блок команд может срабатывать при наступлении какого-либо условия (даты, состояния системы) либо по команде извне. Пользователь, запустивший такую программу, подвергает опасности как свои файлы, так и всю АС в целом.
Согласно данным обзора угроз информационной безопасности Sophos Security Threat Management Report в первой половине 2006 года число распространяемых «троянских» программ превысило количество вирусов и червей в четыре раза, по сравнению с двукратным перевесом за первые шесть месяцев 2005. Sophos также сообщает о появлении нового вида «троянских» программ, получившего название ransomware. Такие программы похищают данные с зараженных компьютеров, а затем пользователю предлагается заплатить за них определенный выкуп.
Рабочие станции конечных пользователей очень уязвимы для вирусов, сетевых червей и «троянских коней».
Особенностью современных вредоносных программ является их ориентация на конкретное прикладное ПО, ставшее стандартом де-факто для большинства пользователей, в первую очередь это Microsoft Internet Explorer и Microsoft Outlook. Массовое создание вирусов под продукты Microsoft объясняется не только низким уровнем безопасности и надежности программ, важную роль играет глобальное распространение этих продуктов. Авторы вредоносного программного обеспечения все активнее начинают исследовать «дыры» в популярных СУБД, связующих ПО и корпоративные бизнес-приложения, построенные на базе этих систем.
Вирусы, черви и «троянские» программы постоянно эволюционируют, основной тенденцией их развития является полиморфизм. Сегодня уже довольно сложно провести границу между вирусом, червем и «троянской» программой, они используют практически одни и те же механизмы, небольшая разница заключается лишь в степени этого использования. Устройство вредоносного программного обеспечения стало сегодня настолько унифицированными, что, например, отличить почтовый вирус от червя с деструктивными функциями практически невозможно. Даже в «троянских» программах появилась функция репликации (как одно из средств противодействия антивирусным средствам), так что при желании их вполне можно назвать вирусами (с механизмом распространения в виде маскировки под прикладные программы).
Для защиты от указанных вредоносных программ необходимо применение ряда мер:
v исключение несанкционированного доступа к исполняемым файлам;
v тестирование приобретаемых программных средств;
v контроль целостности исполняемых файлов и системных областей;
v создание замкнутой среды исполнения программ.
Борьба с вирусами, червями и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. По мере появления новых вирусов, червей и «троянских коней» нужно устанавливать новые базы данных антивирусных средств и приложений.
Спам и фишинг относятся к непрограммным угрозам. Распространенность этих двух угроз в последнее время значительно выросла.
Спам, объем которого сейчас превышает 80% от общего объема почтового трафика, может создавать угрозу доступности информации, блокируя почтовые серверы, либо использоваться для распространения вредоносного программного обеспечения.
Фишинг (phishing) является относительно новым видом интернет-мошенничества, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов, PIN-кодов и другой конфиденциальной информации, дающей доступ к деньгам пользователя. Фишинг использует не технические недостатки программного обеспечения, а легковерность пользователей Интернета. Сам термин phishing, созвучный с fishing (рыбная ловля), расшифровывается как password harvesting fishing - выуживание пароля. Действительно, фишинг очень похож на рыбную ловлю. Злоумышленник закидывает в Интернет приманку и «вылавливает всех рыбок» - пользователей Интернета, которые клюнут на эту приманку.
Злоумышленником создается практически точная копия сайта выбранного банка (электронной платежной системы, аукциона и т.п.). Затем при помощи спам-технологии по электронной почте рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. При составлении письма используются логотипы банка, имена и фамилии реальных руководителей банка. В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных может быть назван выход из строя ПО банка или же нападение хакеров. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, - непременная составляющая успеха мошенников-фишеров. Во всех случаях цель таких писем одна - заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные (пароли, номера счетов, PIN-коды) наложном сайте банка (электронной платежной системы, аукциона). Зайдя на ложный сайт, пользователь вводит в соответствующие строки свои конфиденциальные данные, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем - к электронному счету.
Технологии фишеров совершенствуются, применяются методы социальной инженерии. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свои конфиденциальные данные. Как правило, сообщения содержат угрозы, например заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении.
Появилось сопряженное с фишингом понятие - фарминг . Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные Web-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных Web-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опаснее, так как заметить подделку практически невозможно.
В настоящее время мошенники часто используют «троянские» программы. Задача фишера в этом случае сильно упрощается - достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на жестком диске жертвы все, что нужно. Наравне с «троянскими» программами стали использоваться и кейлоггеры. На подставных сайтах на компьютеры жертв загружают шпионские утилиты, отслеживающие нажатия клавиш. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому фишеры стали подделывать и сайты общего назначения, такие как новостные ленты и поисковые системы.
Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. В частности, около 5% пользователей не знают простого факта: банки не рассылают писем с просьбой подтвердить в онлайне номер своей кредитной карты и ее PIN-код.
По данным аналитиков (www.cnews.ru), ущерб, нанесенный фишерами мировой экономике, составил в 2003 году 14 млрд долларов, а год спустя он достиг 44 млрд долларов. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.
Основной защитой от фишинга пока остаются спам-фильтры. К сожалению, программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Суть защиты заключается в блокировании сайтов, попавших в «черные списки» мошеннических ресурсов. Следующим шагом могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа.
Перечисленные атаки на IP-сети возможны в силу ряда причин:
v использование общедоступных каналов передачи данных. Важнейшие данные передаются по сети в незашифрованном виде;
v уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде;
v отсутствие в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых сообщений;
v аутентификация отправителя осуществляется по его IP-адресу. Процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем подлинность принимаемых пакетов не проверяется;
v отсутствие возможности контроля за маршрутом прохождения сообщений в сети Интернет, что делает удаленные сетевые атаки практически безнаказанными.
PPP (Point-to-Point-Protocol) – протокол второго уровня модели OSI, использующийся на WAN линках. PPP – открытый протокол, что позволяет его использовать при необходимости соединения устройств Cisco с устройствами других производителей (в отличие от HDLC, в отношении спецификации которого у циски своё мнение).
Сразу стоит сделать важное замечание: протокол PPP – многофункциональный и широко распространённый, в то же время, в рамках курса CCNA рассматривается только один способ его применения: подключение двух маршрутизаторов друг к другу через serial кабель. На самом деле, сфера применения протокола не ограничивается этими случаями. PPP может работать через нуль-модемный кабель, телефонную линию, в сотовой связи. Другие популярные способы использования протокола PPP – инкапсуляция его в другие протоколы второго уровня. Поясню: сам PPP находится на втором уровне модели OSI и обеспечивает прямое соединение между двумя устройствами, но если его инкапсулировать в другой протокол второго уровня – Ethernet (PPP over Ethernet – PPPoE), то ethernet будет заниматься доставкой фреймов с мак адреса отправителя на мак адрес получателя, после получатель будет декапсулировать из Ethernet-а PPP фрейм и дальше для завёрнутых в PPP протоколов (IPv4, IPX, …) будет создаваться полная «иллюзия» того, что соединение точка-точка. Сам же PPP в этом случае будет заниматься такими вещами как аутентификация и сжатие траффика. Существуют другие способы использования PPP, например PPP over ATM – PPPoA, Microsoft Windows использует для создания VPN протокол PPTP, который так же является надстройкой над PPP. Но это всё лирическое отступление, чтобы было понятно, зачем вообще изучать PPP. В курсе «CCNA Accessing the WAN» PPP – это протокол для соединения двух маршрутизаторов через serial кабель.
Что умеет PPP в сравнении с HDLC?
- Управление качеством линии (PPP отключает линк, если количество ошибок превысит заданное значение).
- Аутентификация с помощью PAP или CHAP.
- Multilink – технология напоминающая Etherchannel в Ethernet-е: несколько разных линков объединяются в один логический, со скоростью, равной сумме входящих в него линков.
- PPP Callback – технология, использующаяся для повышения безопасности: клиент устанавливает соединение с сервером, сервер разрывает соединение и устанавливает со своей стороны новое – к клиенту.
На самом деле, при передачи данных с маршрутизатора на маршрутизатор, PPP инкапсулируется в HDLC, который выполняет «транспортные» функции для PPP фреймов. Подробнее про HDLC можно почитать в статье «Протокол HDLC – пример настройки и описание». PPP – обладает уровневой структурой, когда фрейм PPP приходит из сети он поднимается по внутренним подуровням PPP снизу вверх:
- Первый подуровень HDLC – получает фрейм, проверяет адрес получателя, контрольную сумму и передаёт полезнуюинформацию дальше.
- Подуровень LCP (Link Control Protocol), как видно из названия, занимается управлением соединением, отправляет и получает разные служебные флаги, следит за состоянием соединения (подключено/выключено), следит за качеством линии, следит за согласованностью параметров конфигурации между точками.
- Подуровень NCP (Network Control Protocol) состоит из большого количества модулей, каждый из которых занимается связью с каким-то конкретным протоколом третьего уровня (IPv4, IPv6, IPX, AppleTalk, …). Благодаря этому, в рамках одного установленного PPP соединения с одним логином и паролем, можно передавать траффик разных протоколов сетевого уровня.
Установка связи между двумя маршрутизаторами по протоколу PPP происходит по уровням снизу вверх, разрыв связи – сверху вниз.
То есть устанавливается связь в таком порядке: LCP,NCP, полезные данные третьего уровня. А разрывается: конец передачи полезных данных, NCP, LCP. Как видно, HDLC не устанавливает и не разрывает соединения, так как в PPP используются HDLC фреймы без подтверждения доставки.
Структура PPP фрейма имеет следующий вид:
- FLAG – признак начала фрейма, специальная последовательность нулей и единиц («01111110»), которая говорит получателю, что далее будет следовать тело фрэйма.
- ADDRESS – адрес получателя, в протоколе PPP всегда используется широковещательный «11111111».
- CONTROL – поле содержит значение «00000011»
- PROTOCOL – поле, содержащее номер протокола третьего уровня, пакет которого «завёрнут» в данный фрейм.
- DATA – поле с полезными данными вышестоящих протоколов.
- FCS – контрольная сумма, которая считается при отправке фрейма и сравнивается с полученным пересчётом, который делается при получении фрейма. В результате, если суммы не совпадают, кадр считается «битым» и отбрасывается.
- FLAG – признак окончания фрейма, содержит то же значение что и признак начала фрейма.
Настройка PPP на оборудовании cisco, как уже было сказано, в курсе CCNA не сложная. Выполняется она на интерфесе:
- Выбираем алгоритм сжатия командой compress
- Устанавливаем качество линии, которое будет считаться приемлемым (при количестве ошибок, больше заданного связь будет разрываться). Для этого служит команда ppp quality .
- Выбираем способ аутентификации PAP или CHAP (подробнее об этом можно узнать из статьи «В чём разница между PAP и CHAP ». Способ аутентификации задаётся командной ppp authentication .
- Необходимо настроить пользователя под которым наш маршрутизатор будет подключаться к другому. Здесь команды разнятся для CHAP и PAP. Сам поьзователь добавляется командой username <имя> password <пароль>, причём делать это надо не на интерфейсе, а в режиме глобальной конфигурации, но в случае использования PAP, надо ещё использовать на интерфейсе команду ppp pap sent-username <имя> password <пароль>.
Использование PAP в реальных конфигурациях не желательно, поэтому мы ограничимся примером настройки CHAP. Итак, предположим, что топология следующая, необходимо настроить PPP с аутентификацией CHAP. Настройка на первом маршрутизаторе:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#username R2 password 123456789 R1(config)#interface serial 0/3/0 R1(config-if)#en R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial0/3/0, changed state to down
Настройка на втором маршрутизаторе:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R2 R2(config)#username R1 password 123456789 R2(config)#interface serial0/3/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ip address 192.168.0.2 255.255.255.0 R2(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial0/3/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
Обратите внимание, что пользователь, которого мы заводим на маршрутизаторе R1 имеет имя R2, а на R2 – R1. Это необходимо, так как когда один роутер подключается к другому, он указывает своё имя, соответственно, другой должен знать это имя (видеть его в своём списке локальных пользователей). Ещё одна немаловажная деталь: пароли к пользователям R1 и R2 обязательно должны совпадать.
Для проверки можем выполнить команду:
R2#sh ip inter brief Interface IP-Address OK? Method Status Protocol … Serial0/3/0 192.168.0.2 YES manual up up …
Если status будет «up», а протокол – «down», то это, как правило означает, что какие-то проблемы с PPP – не та аутентификация, не совпали пароли, качество линии ниже того, что мы заказывали и т.п. В этом случае придётся проверять конфиги и запускать debug ppp, чего я не пожелаю и врагу.
В мире существует множество разновидностей сетевой связи, функционирующих на базе протоколов различного предназначения и разного уровня эффективности. Рассмотрим основные вопросы, связанные с протоколом PPPoE: что это, как он работает и для чего был создан. Чтобы понять преимущества данной технологии, необходимо изучить несколько важных моментов. Начнем знакомство с небольшого введения в понятие РРРоЕ.
Сущность данного решения
Отвечая на вопрос: «PPPoE - что это?», следует пояснить, что речь идет об особом протоколе Название представляет собой аббревиатуру, которая расшифровывается как Point-to-Point Protocol over Ethernet, то есть через сеть Ethernet по принципу «от точки к точке». Соединение работает по аналогии с dial up.
Разница заключается в функционировании: сеть Ethernet связывает PPPoE вместо выделенной телефонной линии. Стоит сказать о сильных сторонах технологии. Подчеркнем, что PPPoE-подключение обладает преимуществом, которое заключается в расширенном спектре дополнительных возможностей: вы можете сжимать данные, проводить аутентификацию, шифровать информацию.
Однако требования MTU здесь ниже (1492 вместо 1500 байт), что иногда приводит к осложнениям при работе с Еще один ответ на вопрос: «PPPoE - что это?» - можно сформулировать так: это туннелирующий протокол. Другими словами, в данной технологии реализована возможность настройки IP или других протоколов через РРР или Ethernet-соединение. Поэтому PPPoE можно использовать для виртуальных звонков, «точечного» соединения и отправки пакетов IP, при этом получая все преимущества РРР.
PPPoE-соединение: что это и как работает
Осуществить PPPoE-подключение вовсе несложно. Первая задача - настройка антенны. Хотя это лучше доверить специалисту из техподдержки: вы как пользователь можете только подключить комплект к источнику питания. Точку доступа и радиоантенну соединяют толстым кабелем, к компьютеру подводят пару обвитых проводов. Провод обжимается и подключается с одной стороны к точке доступа, а с другой - к сетевому адаптеру.
Протокол PPPoE: что это и какие ошибки может выдавать
При работе с протоколом PPPoE могут возникнуть различные технические ошибки, по каждой из которых уже разработаны алгоритмы решений. О них стоит поговорить подробнее. Рассмотрим типичные ошибки PPPoE.
Популярная неполадка имеет номер 633 и означает отсутствие модема или его некорректную настройку. Для исправления положения можно осуществить перезагрузку компьютера, попытаться выйти в Интернет и заново создать подключение.
Ошибка номер 676 означает, что линия занята. Требуется снова войти по локальной сети и подключиться, а после перезагрузки удалить и заново установить сетевой драйвер.
Если не отвечает удаленный компьютер то можно проверить работоспособность антивируса и настройку сетевого экрана, если он имеется. Следует заново включить проверить работу кабеля и присутствие контакта в разъемах. Кроме того, проверьте работу карты и переустановите драйверы. Допускается отсутствие связи с сервером, но это уже системная проблема.
В любом случае нужно понять причину неполадки и выделить все возможные источники проблем. Вы можете обратиться к провайдеру, где вас проконсультирует служба поддержки. Другие распространенные (запрещен доступ), 711 (проблема служб), 720 (рассогласование протоколов подключения), 52 (при совпадающих именах не удается подключение к сети).
Многочисленны номера внутренних ошибок системы Windows (600, 601, 603, 606, 607, 610, 613, 614, 616 и другие) устраняются путем перезагрузки и удаления вирусов. Лучше отменять изменения в настройках, которые недавно были произведены. Если имеется некорректная настройка внутренней конфигурации сети, то возникает ошибка 611. Необходимо проверить функционирование локального подключения.
Ошибка 617 может быть симптомом внутренней неполадки ОС. С большинством нарушений в работе помогут разобраться технические специалисты службы поддержки. В ОС есть информация о неисправностях, проводится их диагностика, при этом варианты решения проблем уже заложены в систему.
Особенности
Технология PPPoE - беспроводная, передающая данные через радиоэфир. Выделенная линия слишком дорогая, а ее проведение не всегда возможно физически. Модемное подключение медленное и часто срывается. Радиосоединение более надежно.
Провайдеры не всегда готовы предоставить высокую скорость, которую сами же и урезают. Здесь важно отрегулировать антенну и направить ее на станцию, чтобы оптимизировать подачу сигнала. Есть еще такое понятие, как wan miniport PPPoE. Что это спросите вы? Если коротко, то это еще одна область, на которую может ссылаться сообщение об ошибке подключения. При ее возникновении свяжитесь с технической поддержкой.
Протоколы
Необходимо уточнить особенности протоколов, так как есть некоторые преимущества у каждого PPPoE передает фреймы протокола РРР напрямую через сеть Ethernet. Отличие от традиционного IP-соединения в том, что есть необходимость в создании учетной записи на шлюзе - это важно для установления контроля и его простого формата. Кроме того, облегчается процесс настройки такой функции, как биллинг.
Отличие PPPoE заключается в скорости, которая достигает 100 мегабит в секунду. Среда передачи - Ethernet. Здесь используется особая технология - стек РРР, которая не является инновационной в силу своей распространенности.
Минипорты
Для подключения и высокоскоростного соединения используется WAN Miniport с протоколом PPPoE. В момент запуска соединения на высокой скорости (особенно при использовании операционных систем Windows 7 и 8) возникает ошибка подключения. Эта ошибка имеет код 651 и связана со сбоем связи при использовании ADSL и с некорректной работой роутера.
Для устранения проблемы необходимо зайти на сервер (например, 192.168.1.1) и уточнить, есть ли соединение с сетью Интернет. Проблема может скрываться в технике абонента (неисправности в модеме, роутере, оптоволоконном терминале) или заключаться в неполадках у провайдеров.
Определение типа соединения
Данная операция может быть проведена пользователем компьютера, который обладает начальным уровнем подготовки. Итак, нажимаем кнопку «Пуск», чтобы вызвать главное меню ОС? и переходим к пункту «Настройки», чтобы выполнить определение типа интернет-соединения.
Отныне вы знаете больше о подключении PPPoE: что это и как работает данная технология.
1. Для того чтобы произвести конфигурирование устройства, необходимо подключиться к нему через web-браузер (программу для просмотра гипертекстовых документов), например, Firefox, Internet Explorer. Для этого необходимо ввести в адресной строке браузера IP-адрес устройства (при заводских установках адрес: - 192.168.1.1, маска подсети - 255.255.255.0).
После введения IP-адреса устройство запросит имя пользователя и пароль.
Имя пользователя admin , пароль admin .
2. В пунктах меню Дополнительные настройки\ WAN сервис и Дополнительные настройки\Интерфейс 2-го уровня\Интерфейс ATM PVC удалите все строчки
3. Выберите пункт меню Дополнительные настройки\Интерфейс 2-го уровня\ ETH интерфейс
4. Нажмите Добавить
5. Выберите порт eth0/eth0
6. В режиме подключения выберите Режим VLAN MUX
7. Выберите Дополнительные настройки\ WAN сервис
8. Нажмите Добавить
9. Выберите eth0/ eth0 и нажмите Далее
10. Выберите тип WAN сервиса PPP over Ethernet
11. В поля приоритет 802.1 P и 802.1 Q VLAN ID поставьте нули
13. В поле PPP имя пользователя введите Логин из вашего договора
14. В поле PPP пароль введите Пароль из вашего договора
15. Установите Повтор PPP при ошибке аутентификации в положение выбрано (галочка поставлена)
16. В поле Период PPP повтора введите 3