<<Casei si pereti ajuta>>, care este de foarte multe ori rezultatele concursului dovedit sportivi. Dar, dintr-un motiv foarte rar ne gandim la avantajele de "acasa" atunci cand iau in considerare protectia noastra de retele. In final, cele mai bune practici de a construi retele de sigur este o strategie cu mai multe niveluri, de aparare in adancime. Vom utiliza firewall-uri, VPN, VLAN-s infiintat nostru trece, dar de asemenea, utilizarea retelei, centralizate si descentralizate tehnologii de sisteme de detectare a intruziunii ca senzori pentru a preveni atacului.
Toate aceste masuri de securitate sunt excelente. Dar de ce sunt ele considerate "cele mai bune practici" din industrie, in cazul in care toate acestea sunt, de asemenea, insuficiente pentru apararea a unui castele in Evul Mediu. In timp ce masurile de securitate actioneaza ca bariere in calea contine si restrictiona accesul la cunoscut si a anumitor tipuri de atacuri, care au practic nici o protectie impotriva amenintarilor necunoscute care exista in cadrul intreprinderii. In plus, aceste masuri de securitate sa nu ne ofere cunostintele suplimentare despre structura de retele. Avantajul nostru <<joc in domeniul lui>> este sa stii despre reteaua noastra mai mult decit aceii care cunosc adversarii nostri, si de a folosi metodele lor impotriva lor la fel.
Paranoia? Sau poate doar prudenta
Scopul nostru - pentru a afla cat de mult posibil despre propriile retele. In mod ideal, am putea sa mergem la Departamentul de IT si sa ceara in detalii topologiea de retea, adresa de spatiu, de frecvent utilizate porturilor si protocoale de retea. Aceasta pare a fi contra-intuitiv, dar intreprinderile mici de fapt, mult mai usor de a urmari acest tip de informatii decat gigant corporatiile transnationale, in parte pentru ca nevoia de a tine cont de mai putine date, dar si pentru ca Departamentul de siguranta si de Departamentul de IT, de regula, ii mai bine sa lucreze impreuna in mai mici, organizatii.
De fapt, marile companii au mari probleme in acest domeniu, in special in cazul in care modelul lor de afaceri pentru crestere economica include achizitia de alte companii. Uneori, personalul IT nu stiu chiar de toate caile de acces de personal la Internet, complica foarte mult organizarea unui sistem de securitate comuna in astfel de societati. Aceasta problema este deosebit de acuta in organizatii, care de multe ori efectueaza fuziuni si achizitii.
In primul rand, pentru a crea sistemul de protectie trebuie sa avem o harta cu o descriere a tuturor nodurilor de retea. Traditional, atacatorii si aparatori de utilizare a programului de cartografiere pentru o retea, cum ar fi nmap [1], care utilizeaza metodele de tip <<solicitare de raspuns>> pentru a confirma prezenta unui gazda si, in functie de configurari folosite pentru a determina sistemul de operare folosit pe gazda, si porturile deschise. Aceasta metoda utilizeaza incompatibile cu RFC raspunsuri la <<accidental>> pachete si a fost destul de popular pentru o lunga perioada de timp (Fyodor ofera o mare cantitate de documentare cu privire la aceasta metoda [2] si este un pionier in identificarea activa a sistemului de operare). Construirea hartii de retea - aceasta este o metoda foarte puternica, dar isi are dezavantaje. Creeaza o cantitate semnificativa de trafic in retea, care poate provoca probleme de retea, pentru anumite aplicatii. In unele cazuri, nmap poate provoca instabilitati in lucrul sistemului de operare , cu toate ca in ultimii ani, aceasta problema se produce mult mai putin frecvent. Aceasta metoda ofera numai curent topologie de retea si de intreprindere. Aceasta metoda ne arata numai topologiea curenta de sisteme ce nu functioneaza intotdeauna in mod corespunzator cu firewall-uri, routere cu NAT si pachete de filtre. Din fericire, exista metodel pasive de analiza, care ofera rezultate similare.
Teoria pasiva de analiza
Metoda pasiva de analiza in retea poate fi gasit mult mai usor, dar in ciuda acestui fapt, aceasta metoda este folosita cel mai des. Metoda pasiva de retea poate afisa o legatura, pentru a determina porturile si serviciile utilizate in activitatile de retea, si poate determina chiar si sistemul de operare. Lance Spitsner de Honeynet proiect [3] si Michael Zalevskiy [4] a ajutat sa initieze dezvoltarea de tehnologie pasiva si amprente, care detecteaza fiabilitatea sistemelor de operare de urmarire TCP / IP. PE p0f v 2.0.8 [5], elaborat de Zalewski, este una dintre cele mai eficiente instrumente de analiza pasiva de detectare folosind tehnologia, fingerprinting noi vom arata unele posibilitati a acesteia
Cheia pentru a intelege Metoda pasiva de retea de analiza este ca functioneaza aproape la fel de bine ca metode active pentru construirea harti. Toate tehnicile de pasiv, bazat pe scenariu de <<cerere-raspuns>>, ele se bazeaza pe cererea altcuiva, si apoi sa colecteze raspunsurile (fig. 1).
Figura 1 - activa si pasiva de analiza retelei
In scenariu activ, obiectul (A) a raspuns la cererea de aplicare, care construieste o harta a retelei, care este eficient, dar pentru acest exemplu, am creat artificial conditiile de observare. In scenariu pasiv, obiectul (A) raspunde la cererile, ca urmare a functionarii normale. In ambele cazuri, vom obtine date cu privire la porturi si serviciile utilizate, a fluxurilor de conexiuni, informatii cu privire la timp, ceea ce poate face asumarea de performanta a retelei noastre. Dar metoda pasiva poate, de asemenea, face ceva care nu poate fi efectuata prin utilizarea metodei de active: putem vedea ca reteaua de la un utilizator perspectiva si examinarea cererilor de comportament normal in timpul operatiilor.
Metoda pasiva are mai multe avantaje fata de metoda de scanare activa. Metoda pasiva are posibilitatea de nu genera trafic de retea de monitorizare, care poate fi important pentru aplicatii de retea sau in cazul in care reteaua nu este capabil sa se ocupe de volum mare de informatii transmise prin retea cand merge scanarea. Metoda pasiva de metode nu genera sisteme de avertizare pentru a detecta atacurile si jurnale de intrari pentru gazde si servere in monitorizarea retelei, reducand analiza globala. In unele cazuri, o metoda de analiza pasiva poate dezvalui prezenta de firewall-uri, NAT rutere si switch-uri, si, posibil, descrierea gazde care se afla in spatele ei.
In ciuda tuturor avantajelor de metode pasive, el are si dezavantaje. Pentru a analiza metoda pasiva este intotdeauna necesar pentru a introduce in hardware sau software senzori studiat in retea. De senzori ar trebui sa fie plasate in topologie de retea, astfel ca prin intermediul lor, a fost calificata de trafic, care nu este un banala sarcina in retelele moderne . In cele din urma, unelte pentru analiza pasiva este mult mai putin dezvoltat decat metodele traditionale de analiza, pentru ca necesita un efort considerabil de la analist pentru plasarea de senzori, de colectare a datelor si de analiza a rezultatelor.
Pentru a intelege mai bine de metoda pasiva de analiza, sa ne examinam un exemplu de captare, folosind Ethereal [6]. Acelasi rezultat
Pentru a descărca acest document,
trebuie să te autentifici in contul tău.
