Jak rozpoznać włamanie do sieci firmowej - zły sen admina

Jak się bronić?

Przeciwdziałanie atakom i neutralizacja ich skutków zależne są przede wszystkim od formy danego zagrożenia, a także od rozmiarów sieci, skali działania firmy i potrzeb danej jednostki gospodarczej – oczywiste jest, że inaczej wyglądają wymagania dotyczące sieci w przypadku niewielkiej firmy o lokalnym zasięgu, a inne w przypadku korporacji wymagającej bezpiecznych, międzynarodowych kanałów transmisji danych. Przy tak dużej rozpiętości trudno jednoznacznie określić precyzyjne wskazówki dotyczące ochrony, gdyż wielokrotnie konkretny przypadek wymaga odrębnej analizy. Jednak istnieje szereg zaleceń, których wdrożenie pozwoli w jak największym stopniu zminimalizować ryzyko włamania i ewentualnych strat gdy taki incydent wystąpi. Podstawowym zadaniem osób odpowiedzialnych za bezpieczeństwo sieci firmowej jest opracowanie spójnej strategii bezpieczeństwa obejmującej nie tylko niezbędne komponenty ochronne sieci (np. zapory sieciowe i inne sprzętowo programowe elementy zabezpieczające), ale również politykę bezpieczeństwa, zakres uprawnień użytkowników, sposób uwierzytelniania, kontrolę dostępu do określonych zasobów, szyfrowanie danych tam, gdzie zostanie to uznane za niezbędne itp.

Jak rozpoznać włamanie do sieci firmowej - zły sen admina

Wireshark, jeden z najpopularniejszych, udostępnianych bezpłatnie analizatorów protokołów sieciowych, czyli aplikacja zaliczana do kategorii tzw. snifferów.

Automatyczne wykrywanie włamań

Stanowiące integralną część współczesnych systemów ochronnych IDS-y (systemy wykrywania włamań) to rozwiązania (zarówno sprzętowe jak i software’owe), których działanie opiera się na dwóch metodach analizy ruchu sieciowego: sygnaturowej oraz heurystycznej. W pierwszym przypadku mamy do czynienia po prostu z systemem porównującym stale monitorowany ruch sieciowy z zapisanymi w urządzeniu/oprogramowaniu IDS-a sygnaturami znanych ataków. Tego typu rozwiązanie łatwo powinno poradzić sobie z zagrożeniami generowanymi przez tzw. script-kiddies, czyli agresorów o relatywnie niewielkiej wiedzy technicznej, korzystających z gotowych, udostępnianych w internecie (oczywiście w obrocie nieoficjalnym, czarnorynkowym) narzędzi (gotowych aplikacji czy skryptów) przestępczych. W takim przypadku do głosu dochodzi druga metoda analizy stosowana w opisywanych systemach ochronnych – heurystyka, czyli obarczona pewnym błędem (wynikającym z samej natury heurystyki; jest to prostu metoda szukania rozwiązań bez gwarancji odnalezienia rozwiązania optymalnego) analiza ruchu sieciowego mająca na celu wykrycie nieprawidłowości mogących skutkować zagrożeniem dla integralności sieci firmowej. Niemniej w przypadku specyficznych, niestandardowych ataków ukierunkowanych na konkretny cel zarówno heurystyka, jak i sygnatury zapisane w IDS mogą nie wystarczyć.

Zobacz również:

Rodzaje ataków sieciowych

Rodzaje ataków sieciowych

Podsłuchiwanie (eavesdropping) – pasywna technika ataku polegająca po prostu na nasłuchu ruchu sieciowego atakowanego celu. O ile w przypadku sieci kablowych nasłuch wymaga fizycznego dostępu do struktury sieciowej, to w przypadku sieci bezprzewodowych już oczywiście nie. W wykryciu takiego ataku może pomóc analiza nawiązanych połączeń i kontrola urządzeń łączących się z siecią firmową. Lista urządzeń dopuszczonych do sieci (również mobilnych) powinna być ściśle kontrolowana, a próby nawiązania jakiegokolwiek połączenia przez urządzenie nieznane – zgłaszane.

Man-In-The-Middle – atak polegający na tym, że agresor ma dostęp do konkretnego kanału komunikacyjnego i może aktywnie zmieniać w czasie rzeczywistym informacje przesyłane pomiędzy połączonymi jednostkami (przykładem ataku tego typu jest rerouting). Formą ochrony przed tego typu atakami jest szyfrowanie komunikacji (co oznacza również ochronę integralności przesyłanej informacji).

Podszywanie się - Identity Spoofing – atak polegający na podszywaniu się przez agresora za jednostkę uprawnioną do korzystania z sieci. Atakujący może próbować się dostać do sieci przedstawiając się adresem IP jednej z rzeczywistych maszyn w danej organizacji, oczywiście fałszowaną informacją mogą być również inne dane, jak np. adresy MAC interfejsów sieciowych. Metodą ochrony jest stosowanie certyfikatów potwierdzających tożsamość jako elementów niezbędnych do nawiązania skutecznego połączenia.

Odmowa obsługi - DoS/DDoS (Denial-of-Service/Distributed Denial-of-Service) – atak polegający na masowym wysyłaniu informacji (treść nie ma znaczenia) w celu przeciążenia systemów atakowanego celu odpowiedzialnych za przetwarzanie i obsługę ruchu sieciowego. Tego typu ataki mogą być blokowane przez współczesne systemy IDS poprzez odcięcie komunikacji pochodzącej z określonych źródeł czy blokowanie nieprawidłowych pakietów często wykorzystywanych w tego typu atakach.


TOP 200