Есть шанс, что могут помочь некоторые методики фильтрации. Если атака не фальсифицирована, можно обнаружить в трафике определенную сигнатуру. Тщательное исследование перехваченных пакетов иногда дает характерные следы, на основе которых вы можете создать ACL (access control lists - списки контроля доступа) маршрутизатора или правила файрволла. К тому же, большая часть трафика может исходить от определенного провайдера или магистрального маршрутизатора. В этом случае вы можете временно заблокировать весь трафик от этого источника, что позволит пройти части легитимного трафика. Помните при этом, что вы также блокируете «реальные» пакеты, или легитимный трафик, но этим придется пожертвовать.

И последней возможностью, доступной для больших компаний и сетей, является установка дополнительного оборудования и увеличения пропускной способности во время атаки и ожидание ее прекращения. Конечно, это не лучшее решение, и не самое дешевое, но оно может временно устранить проблему.

Важно подчеркнуть, что процесс исследования необходимо начать сразу. Без сомнения, придется сделать множество телефонных звонков, e-mail, факсов между вашей организацией, вашим провайдером и другими людьми и компаниями, имеющими к этому отношение. На это, конечно, уйдет много времени, так что лучше раньше начать.

Предотвращение DDoS атак

Проблема DDoS может быть решена только всеобщими усилиями и более жесткими стандартами безопасности. Во-первых, администраторы и домашние пользователи должны в одинаковой степени быть уверены, что их компьютеры защищены. Slave'ы, используемые в DDoS атаках - продукт работы авторутеров, программ, которые сканируют тысячи машин, взламывают те из них, которые уязвимы, и устанавливают программное обеспечение. Установка последних патчей, остановка ненужных сервисов, и использование базовой файрволл фильтрации помогут вашей машине не стать добычей и участником в таких атаках. Регулярно проверяйте свои компьютеры на наличие уязвимостей с помощью специальных сканеров, например XSpider.

Наибольшая сложность при защите от DDoS состоит в поддельных IP адресах атакующих машин. Эта проблема может быть решена с использованием методики, называемой «исходящая фильтрация» (Egress filtering). Исходящая фильтрация анализирует пакеты, направленные в Интернет на граничном маршрутизаторе, стоящем перед магистральным маршрутизатором. Эти маршрутизаторы должны знать адреса всех устройств, стоящих за ним, поэтому все, что отправлено с других адресов - подделка. Поддельные пакеты должны отбрасываться до их попадания в Интернет или на магистральный маршрутизатор. Если сетевые администраторы установят такую фильтрацию по умолчанию, поддельные пакеты станут почти невозможными, что многократно сократит процесс идентификации в исследовании DDoS. К сожалению, в большинстве сетей эти фильтры отключены, и поддельные пакеты беспрепятственно проходят. IPv6, будущий IP стандарт, также имеет возможности защиты от этой фундаментальной сетевой проблемы.

Всегда имейте под рукой список административных и технических контактов с вашим ISP. Узнайте также, имеет ли ваш провайдер методику обнаружения и работы с DDoS атаками в своей сети. Некоторые крупные провайдеры имеют сенсоры, которые определяют неожиданный рост трафика в определенных точках, что служит сигналом для обнаружения и изоляции крупных DDoS инцидентов. Если вы сейчас ищите провайдера, спросите его, что они делают с DoS атаками. Если у вас уже есть провайдер, задайте ему тот же вопрос. В зависимости от ответа вы можете принять решение сменить провайдера.

Распределенные атаки на отказ в обслуживании очень эффективны, и их трудно остановить. Окончательное решение этой проблемы требует от мирового сетевого сообщества неусыпно следовать строгим стандартам безопасности. В настоящий момент лучшей техникой защиты является готовность к такой атаке. Очень важно иметь план реагирования на DDoS инцидент. А использование исходящей фильтрации является хорошим стандартом безопасности, гарантирующим, что машина, находящаяся под вашим контролем, не участвует в таких атаках. Осведомленное компьютерное сообщество может сделать DDoS сегодня пережитком прошлого.

Аппаратная защита

Когда заходит речь об аппаратной защите в целом, недостаточно было бы упомянуть о данных средствах только лишь относительно определённого компьютера или же конкретного программного обеспечения. Помимо этого, термин "аппаратная защита" подразумевает комплексный подход для решения ряда задач и проблем, стоящих перед системным администратором, по правильной настройке достаточно защищённой внутренней локальной сети, имеющей выход в глобальную сеть Интернет. Исходя из этого, аппаратную защиту можно классифицировать на следующие виды:

· аппаратная защита программного обеспечения

· локальная аппаратная защита (аппаратная защита компьютера и информации)

· аппаратная защита сети (аппаратная защита внутренней локальной сети с одним или несколькими выходами в Интернет)

Аппаратная защита программного обеспечения

На данный момент существует отдельное направление в компьютерной индустрии, занимающееся обеспечением защиты ПО от несанкционированного использования. Ещё на ранних стадиях развития компьютерных технологий применялись довольно разнообразные, но недостаточно гибкие методы такой защиты. Чаще всего она основывалась на нестандартном использовании носителей информации, которую можно обойти путём использования средств побитового копирования, поэтому уже после инсталляции дистрибутива "привязка" установленной прикладной программы к аппаратным характеристикам компьютера уже не играет особо важную роль. Серийные номера используются разработчиками ПО до сих пор, но возможность сделать неограниченное количество копий, если в наличии имеется только один требуемый ключ, сейчас практикуется на рынке "пиратских" компакт-дисков. В связи с этим в последнее время все большую популярность среди производителей программного обеспечения приобретают новые усовершенствованные программно-аппаратные средства защиты, известные как "аппаратные (электронные) ключи", являющиеся одним из достаточно надежных способов борьбы с нелегальным копированием.

Электронные ключи

Под термином "электронный ключ" предполагается аппаратная реализация системы защиты и соответствующего программного обеспечения. Сам ключ представляет собой плату, защищённую корпусом, в архитектуру которой обязательно входят микросхемы памяти и, иногда, микропроцессор. Ключ может подключаться в слот расширения материнской платы ISA, или же к LPT, COM, PCMCIA, USB-порту компьютера. В его программное обеспечение входит модуль, который встраивается в защищаемое ПО (таким образом данное программное обеспечение "привязывается" к ключу, а не к конкретному компьютеру), и драйвера под различные операционные системы. Ключи в большинстве своём основаны на одной из трёх моделей существующих аппаратных реализаций: на основе FLASH-памяти, PIC или ASIC-чипов. Помимо этого, в некоторые ключи встраиваются дополнительные возможности в виде энергонезависимой памяти, таймеров, выбора алгоритма кодирования данных.

Что касается аппаратной реализации электронного ключа на основе FLASH-памяти, то следует заметить, что он достаточно прост и является наименее стойким ко взлому (стойкость определяется типом программной части). В архитектуру такого ключа не входит микропроцессор, а в подобных системах критическая информация (таблица переходов и ключ дешифрации) хранится в памяти. Кроме того, такие ключи обладают наименьшей степенью прозрачности для стандартных протоколов обмена. Защита заключается в считывании из ключа определённых данных и участков кода на этапе проверки легальности использования. Чтобы дезактивировать такую защиту в большинстве случаев взломщику потребуется аппаратная часть системы защиты. Методика взлома основана на перехвате диалога между программной и аппаратной частями для доступа к критической информации. Другими словами: определяется алгоритм обмена информацией между ключом и компьютером, считывается информация из FLASH-памяти и пишется соответствующий эмулятор.

Для PIC- и ASIC-ключей защита строится по принципиально другому методу. В их архитектуру уже входит микропроцессор. Помимо этого данные микросхемы включают небольшое количество оперативной памяти, память команд и память для хранения микропрограммы. В аппаратной части содержится ключ дешифрации и блоки шифрации/дешифрации данных. Ключи на этой основе намного более устойчивы ко взлому и являются более прозрачными для стандартных протоколов обмена. PIC-чипы программируются разработчиками ключей, поэтому PIC-ключи являются более дорогой перспективой для заказчика. Аппаратную копию такого ключа сделать довольно проблематично за счёт того, что микропрограмма и внутренняя память защищены от внешнего считывания, НО к таким ключам применимы методы криптоанализа. Достаточно сложной является также задача перехвата ключа (основная обработка производится аппаратной частью). Однако остается возможность сохранения защищенной программы в открытом виде после того, как система защиты отработала.

Отрицательными сторонами аппаратных (электронных) ключей является:

1. Возможная несовместимость с программным обеспечением или аппаратурой пользователя;

2. Затруднение разработки и отладки программного обеспечения;

3. Повышение системных требований для защищаемого программного обеспечения;

4. Угроза кражи;

5. Невозможность использования защищённого ПО в портативных компьютерах;

6. Затраты на приобретение;

7. Несовместимость с аппаратными ключами других фирм;

8. Снижение отказоустойчивости программного обеспечения;

Следует заметить, что достаточно часто возникают конфликты ключа со стандартными устройствами, подключаемыми к портам компьютера, особенно это касается подключения к LPT и COM. Теоретически возможен случай, когда ключ получает данные, не предназначенные ему, и интерпретирует их как команду на чтение/запись FLASH-памяти, что может привести к порче хранимой информации или нарушению протокола обмена с другим устройством, подключенным к тому же порту компьютера. Кроме того, возможны угрозы перегрузки трафика при конфликтах с сетевым программным или аппаратным обеспечением.

"Ключевые диски"

В настоящий момент этот вариант защиты программного обеспечения мало распространён в связи с его устареванием. Единственным его отличием от электронных ключей является то, что критическая информация содержится на ключевом носителе. Слабой стороной данного варианта является возможность перехвата считывания критической информации и незаконное копирование ключевого носителя.

СМАРТ-карты

В последнее время в качестве электронного ключа широко распространились СМАРТ-карты. Носителем информации в них является микросхема. Условно их можно разделить на микропроцессорные, карты с памятью и криптографические (поддержка алгоритмов DES, RSA и других) карты.

Карты с памятью или memory cards являются самыми простейшими из класса СМАРТ-карт. Объем их памяти составляет величину от 32 байт до 16 килобайт. Такие карты делятся на два типа: с защищенной и незащищенной (полный доступ) памятью. Уровень защиты карт памяти выше, поэтому они могут быть использованы в прикладных системах небольших финансовых оборотов.

Карты с микропроцессором или CPU cards представляют собой микрокомпьютеры и содержат все соответствующие основные компоненты. Часть данных операционной системы микропроцессорной карты доступна только её внутренним программам. Также она содержит встроенные криптографические средства. За счёт всего перечисленного подобная карта достаточно защищёна и может быть использована в финансовых приложениях.

Подводя итоги всего вышесказанного можно сказать, что, несмотря на кажущуюся универсальность аппаратных ключей, они все-таки подвержены взлому. Разработчики ключей применяют различные способы для сведения вероятности взлома к минимуму: защита от реассемблирования, трассировки, отладчиков и многое другое. Однако защита от трассировки и отладчиков практически бесполезна, если используется SoftIce.

Аппаратная защита компьютера и информации

Вопрос защиты персональных компьютеров от несанкционированного доступа в сетях различных компаний и особенно банковских структур в последнее время приобретает всё большую популярность. Тенденции роста и развития внутренних ЛВС требуют более новых решений в области программно-аппаратных средств защиты от НСД. Наряду с возможностью удалённого НСД, необходимо рассматривать ещё и физический доступ к определённым компьютерам сети. Во многих случаях эта задача решается системами аудио- и видеонаблюдения, сигнализациями в помещениях, а также правилами допуска посторонних лиц, за соблюдением которых строго следит служба безопасности и сами сотрудники. Но случается по-разному…

Страницы: 1, 2, 3, 4