Как общие IP и свойства файлов до картеля НЕ довели

Бывает, что вы соединили два или более компьютеров в локальную сеть проводом или по Wi –Fi и обнаружили, что компьютеры «не видят» друг друга. И эти компьютеры управляются Windows 7, в то время как компьютеры со старенькой, но горячо любимой, XP прекрасно обнаруживают друг друга в сети и видят папки, открытые для общего доступа.

Кстати, как соединять два компьютера напрямую и как создать локальную Wi – Fi сеть мы писали в соответствующих статьях.

В windows 7 была кардинально переработана работа с сетями и общим доступом. Появились «сетевые размещения» (домашняя, рабочая, общественная сеть и сеть домена) и сделано это было конечно во благо наше с вами, но получилось, как говориться, как всегда.

• По умолчанию семерка определяет все новые сети как общественные, а для них установлены очень суровые правила безопасности: сетевое обнаружение отключено (компьютер слеп и не видим другим машинам), выключен общий доступ к файлам и принтерам ( другие компьютеры не видят расшаренные папки, папки, принтеры), доступ к компьютеру из сети запаролен.
• Еще с мрачных времен Windows Vista многие помнят этот экран выбора сетевых размещений, появляющийся всякий раз, когда компьютер подключается к новой сети.
• 

Итак, как открыть доступ к файлам по сети в windows 7 (расшарить файлы)?
Можно каждый раз при выборе сетевого размещения выбирать Домашняя сеть.

А можно один раз настроить компьютер для удобного пользования при подключении к любой сети, с обитателям которой вы хотите расшарить файлы.

Если вас заботит сохранность ваших конфиденциальных данных, просто не предоставляйте к ним доступ и старайтесь не открывать к файлам и папкам полного доступа (на запись и чтение).

Если вы опасаетесь, что к вашим файлам будут иметь доступ сторонние лица, когда, например, вы находитесь в аэропорту и подключены к Wi – FI сети, установите программу

и закрывайте доступ к вашему компьютеру извне двумя кликами мыши. Kill Watcher останавливает службу сервера, и ваши файлы становятся недоступны по сети даже для чтения.

Подготовка к расшариванию

1. Нажмите на значке сети в трее и перейдите по ссылке в Центр управления сетями и общим доступом.
2. 
3. В левой боковой колонке нажмите по ссылке Изменение дополнительных параметров общего доступа.
4. В появившемся окне выставьте значения переключателей, как показано на скриншоте:
5. 

Примечание. Не рекомендую открывать доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках. Эти папки расположены на диске «С», и отрыв к ним доступ для записи, вы открываете путь троянам и вирусам на вашу машину. Делайте это только, если все компьютеры в сети вам знакомы и на них установлено антивирусное ПО.

Как Расшарить файл или папку?

• Нажмите на папке или файле правой кнопкой мыши и зайдите в Свойства.
• 
  Перейдите на вкладку Доступ и нажмите на кнопку Расширенная настройка
• Поставьте галку возле Открыть общий доступ к этой папке и нажмите на кнопку Разрешения
• 
• Нажмите Добавить
• 
  В появившемся окне нажмите кнопку Дополнительно

Нажмите кнопку Поиск справа посередине (1) – в нижнем поле окна появится список служб и пользователей(2). Прокрутите список до низа и найдите Сеть. Выделите Сеть(3) левой кнопкой мыши и нажмите OK(4). Затем еще раз OK.

1. В поле, выделенным желтым, вы можете задать права для пользователей, которые будут подключаться к вам по сети.
2. Отличия между полным доступом, изменением и чтением показаны в этой таблице (материал из справки Windows).

Если кратко, то разница между полным доступом и изменением только в том, что при полном доступе можно будет удалить файлы.
Когда вы настроите желаемые права для пользователей, нажмите OK два раза и перейдите в окне свойств папки на вкладку Безопасность. Далее нужно выполнить действия, подобные тем, что мы выполняли при задании разрешений.

• Нажмите кнопку Изменить.
• В появившемся окне нажмите Добавить.
• Нажмите кнопку Дополнительно в следующем окне.

Далее нажмите Поиск и найдите внизу списка Сеть. Выделите Сеть левой кнопкой мыши и нажмите OK. Два раза подтвердите выбор нажатием OK.

В этом окне, как и ранее в параметрах доступа, задайте желаемые параметры безопасности. Если вы оставите список без изменений, по умолчанию на папку будут заданы параметры для чтения. Подтвердите свой выбор, два раза нажав OK.

Вот в принципе и все. Можете приступать к передаче файлов по сети.

Если, несмотря на все вышеперечисленные меры, компьютер по-прежнему недоступен для других, попробуйте отключить брандмауэр Windows или тот, что встроен в ваш Антивирус.

Особенно это актуально для пользователей Eset Smart Security, который по умолчанию очень любит блокировать все сетевые соединения. KIS тоже, бывает, грешит этим.

Если компьютер и в этом случае не удалось расшарить, попробуйте перезагрузиться и получить к нему доступ, набрав в строке адреса проводника (в любом окне) его IP – адрес (как изменить IP – адрес, читайте в статье Создание беспроводной локальной сети у себя дома). Перед адресом должно стоять два бэкслэша(\).

На десерт небольшая шутка

— Кто ответит на вопрос, в чём заключается многозадачность Windows?

— Она может выдавать несколько ошибок одновременно.

Сообщить о нерабочей ссылке

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера

• Пенного тебе %username%!
• Прошлый пост зашел неплохо и я решил продолжить
• Описанное ниже касается Windows Server 2008R2 и выше.

Итак, юный сисадмин, ты замутил файлопомойку. Поднял файловый сервер для нужд компании. Создал там некую иерархию:

1. Ты сделал людям благое дело, но ситуация вышла из под контроля, ибо когда всем всё можно — все делают, что хотят.
2. — Ограничения, установленные в прошлый раз не останавливают пользователей и они продолжают засирать файловый сервер «ёлочками» и прочим софтом.
3. — Кто-то принес на работу фильм, любезно залил его в общую папку
4. — Практически каждый этот фильм скопировал к себе
5. — Маркетологи заполнили макетами добрую половину свободного пространства.
6. — На призывы разобраться и удалить старое никто не реагирует.
7. Эти и многие другие проблемы возникают от того, что зачастую за действиями пользователей на общем ресурсе не ведется наблюдение.
8. Диспетчер ресурсов файлового сервера — это служба, позволяющая управлять данными и классифицировать их.
9. Она предоставляет нам следующие возможности:
10. — Классифицировать файлы для более эффективного управления файлами (об этом потом)
11. — Управлять квотами для тома каталогов

— Управлять файлами при  помощи задач (сроки действия, шифрование).Об этом потом.

• — Блокировать файлы при помощи фильтров.
• — Просматривать отчеты хранилища.
• Он подходит для решения интересных задач хранения, например защита от шифровальщиков.
• Следует учитывать, что служба поддерживает только тома, отформатированные в NTFS.
• Управление квотами
• Квота может быть мягкая или жесткая.
• — Жесткая квота при достижении предела запрещает запись данных и формирует уведомление.
• — Мягкая квота только формирует уведомление, не ограничивая запись.
• Теперь создадим квоту на папку Отдел 1 по шаблону: квота жесткая 200мб с предупреждением пользователя.

Запишем туда данные, суммарный объем которых  заведомо больше.

Система отказывает нам в сохранении остальных файлов, а на почту присылает письмо:

Заметили, что моя почта указана дважды? Это потому, что администратор тоже уведомляется. параметры отправки писем указываются в настройках FSRM.

Это ответ на вопрос, который у меня иногда спрашивают: можно-ли квоту сделать не на пользователя, а на папку.

Блокировка файлов при помощи фильтров.

Для фильтра можно так-же использовать шаблон, но я создам свой. Я не буду указывать расширения файлов, а воспользуюсь готовыми группами.

В фильтре можно указать выполнение команд при срабатывании фильтра, но я выберу только уведомление администратора.

При попытке записать на общий ресурс mp3 файл, пользователь получает следующее:

А администратор получает письмо на почту:

На этом в принципе я закончу, более подробно про диспетчер ресурсов файлового сервера расскажу в другой заметке.

Если тебе не терпится его освоить, то тебе сюда: https://docs.microsoft.com

Что такое TCP/IP и как работает этот протокол

Протокол TCP/IP – это целая сетевая модель, описывающая способ передачи данных в цифровом виде. На правилах, включенных в нее, базируется работа интернета и локальных сетей независимо от их назначения и структуры.

Что такое TCP/IP

Произошло наименование протокола от сокращения двух английских понятий – Transmission Control Protocol и Internet Protocol. Набор правил, входящий в него, позволяет обрабатывать как сквозную передачу данных, так и другие детали этого механизма. Сюда входит формирование пакетов, способ их отправки, получения, маршрутизации, распаковки для передачи программному обеспечению.

Стек протоколов TCP/IP был создан в 1972 году на базе NCP (Network Control Protocol), в январе 1983 года он стал официальным стандартом для всего интернета. Техническая спецификация уровней взаимодействия описана в документе RFC 1122.

В составе стека есть и другие известные протоколы передачи данных – UDP, FTP, ICMP, IGMP, SMTP. Они представляют собой частные случаи применения технологии: например, у SMTP единственное предназначение заключается в отправке электронных писем. 

Уровни модели TCP/IP

Протокол TCP/IP основан на OSI и так же, как предшественник, имеет несколько уровней, которые и составляют его архитектуру. Всего выделяют 4 уровня – канальный (интерфейсный), межсетевой, транспортный и прикладной. 

Канальный (сетевой интерфейс)

Аппаратный уровень обеспечивает взаимодействие сетевого оборудования Ethernet и Wi-Fi. Он соответствует физическому из предыдущего стандарта OSI. Здесь задача состоит в кодировании информации, ее делению на пакеты и отправке по нужному каналу. Также измеряются параметры сигнала вроде задержки ответа и расстояния между хостами.

Межсетевой (Internet Layer)

Интернет состоит из множества локальных сетей, объединенных между собой как раз за счет протокола связи TCP/IP. Межсетевой уровень регламентирует взаимодействие между отдельными подсетями. Маршрутизация осуществляется путем обращения к определенному IP-адресу с использованием маски.

Если хосты находятся в одной подсети, маркируемой одной маской, данные передаются напрямую. В противном случае информация «путешествует» по целой цепочке промежуточных звеньев, пока не достигнет нужной точки. Назначение IP-адреса проводится по стандарту IPv4 или IPv6 (они не совместимы между собой).

Транспортный уровень (Transport Layer)

Следующий уровень отвечает за контроль доставки, чтобы не возникало дублей пакетов данных. В случае обнаружения потерь или ошибок информация запрашивается повторно. Такой подход дает возможность полностью автоматизировать процессы независимо от скорости и качества связи между отдельными участками интернета или внутри конкретной подсети.

Протокол TCP отличается большей достоверностью передачи данных по сравнению с тем же UDP, который подходит только для передачи потокового видео и игровой графики. Там некритичны потери части пакетов, чего нельзя сказать о копировании программных файлов и документов. На этом уровне данные не интерпретируются.

Прикладной уровень (Application Layer)

Здесь объединены 3 уровня модели OSI – сеансовый, представления и прикладной. На него ложатся задачи по поддержанию сеанса связи, преобразованию данных, взаимодействию с пользователем и сетью. На этом уровне применяются стандарты интерфейса API, позволяющего передавать команды на выполнение определенных задач.

Возможно и использование «производных» протоколов. Например, для открытия сайтов используется HTTPS, при отправке электронной почты – SMTP, для назначения IP-адресов – DHCP. Такой подход упрощает программирование, снижает нагрузку на сеть, увеличивает скорость обработки команд и передачи данных.

Порты и сокеты – что это и зачем они нужны

Процессы, работающие на прикладном уровне, «общаются» с транспортным, но они видны ему как «черные ящики» с зашифрованной информацией. Зато он понимает, на какой IP-адрес адресованы данные и через какой порт надо их принимать.

Этого достаточно для точного распределения пакетов по сети независимо от месторасположения хостов.

Порты с 0 до 1023 зарезервированы операционными системами, остальные, в диапазоне от 1024 до 49151, условно свободны и могут использоваться сторонними приложениями.

Комбинация IP-адреса и порта называется сокетом и используется при идентификации компьютера. Если первый критерий уникален для каждого хоста, второй обычно фиксирован для определенного типа приложений. Так, получение электронной почты проходит через 110 порт, передача данных по протоколу FTP – по 21, открытие сайтов – по 80.

Преобразование IP-адресов в символьные адреса

Технология активно используется для назначения буквенно-цифровых названий веб-ресурсов. При вводе домена в адресной строке браузера сначала происходит обращение к специальному серверу DNS. Он всегда прослушивает порт 53 у всех компьютеров, которые подключены к интернету, и по запросу преобразует введенное название в стандартный IP-адрес.

После определения точного местонахождения файлов сайта включается обычная схема работы – от прикладного уровня с кодированием данных до обращения к физическому оборудованию на уровне сетевых интерфейсов. Процесс называется инкапсуляцией информации. На принимающей стороне происходит обратная процедура – декапсуляция.

Признаки картельного сговора

Свободная конкуренция — важное условие развития рыночной системы и экономики страны. Только в условиях честной конкуренции у хозяйствующих субъектов есть мотивация оптимизировать производства, повышать эффективность, работать над снижением стоимости ТРУ и повышением их качества.

В том, чтобы принципы свободной конкуренции повсеместно соблюдались, заинтересованы как сами участники рынков, так и потребители ТРУ, поэтому на защиту конкуренции направлены усилия и законодателя, и уполномоченных государственных органов.

Участники картельного — это игроки одного и того же рынка, которые, вместо того чтобы честно конкурировать на нем, формируют договоренности, которые позволяют им работать на этом рынке, реализовывать ТРУ и получать прибыль, не прилагая усилий, чтобы на нем удержаться. Договоренность направлена на:

• поддержание определенного уровня цен на рынке;
• устранения отдельных участников с рынка;
• передел сфер влияния на рынке.

Картельный сговор возможен на рынке любых ТРУ и всегда незаконен, но особого внимания заслуживают картели, работающие в сфере госзакупок; к таковым относятся:

• картельный сговор между заказчиком и подрядчиком, когда заказчик стремится отдать контракт на исполнение не выбранному на честном тендере победителю, а компании, с которой заранее достигнута договоренность;
• договоренность между несколькими участниками тендера.

Говоря о том, что такое картельный сговор по 44-ФЗ и чем он опасен, важно помнить, что по закону о контрактной системе расходуются не собственные средства заказчика, а бюджетные деньги.

Конкуренция на тендерах — это не только способ для заказчика получить наилучший товар, работу или услугу, но и сэкономить государственные деньги.

Картельный сговор на госзакупках способствует не только снижению качества поставляемых ТРУ, но и неэффективному расходованию бюджетных средств, что наносит ущерб как экономической, так и политической системам страны.

В сфере госзакупок изобретено множество схем картельного сговора:

• широко известна форма картельного сговора «таран», предполагающая договоренность двух участников тендера против остальных. Первый участник сильно снижает сумму будущего контракта относительно НМЦК, заставляя добросовестных участников покинуть торги, поскольку для них это становится невыгодно. В конце торга свою цену предлагает второй участник договоренности, который относительно НМЦК снижает незначительно. В итоге в тендере остается два участника, заявки которых поступают на рассмотрение заказчику. В результате рассмотрения выясняется, что заявка первого, «тарана», не соответствует требованиям, и победителем признается второй заговорщик, чье предложение незначительно ниже НМЦК. В результате заказчик вынужден заключить контракт с не самым лучшим из претендентов, да еще и не по самой оптимальной цене;
• нередко участники тендера договариваются между собой не снижать значительно цену тендера, из-за чего не достигается одна из задач закупочной системы — экономия бюджетных средств;
• некоторые договоренности реализуются еще до начала непосредственно тендера: компании, работающие на одном рынке, договариваются, что не станут подавать заявки на одни и те же тендеры — это фактический передел рынка на сферы влияния.

Нередко участником становится сам заказчик:

• манипулирует с закупочной документацией, формулируя ее таким образом, что «случайная» компания заведомо не выполнит предъявленные условия;
• на этапе проведения тендера отсеивает неугодные компании по надуманным поводам.

Как распознать сговор: признаки картеля

Распознать признаки картеля на торгах не всегда просто: схемы взаимодействия заговорщиков модернизируются, и часто совершаемые ходы не очевидны для стороннего наблюдателя. Заказчик подозревается в сговоре с одним из участников при наличии таких маркеров, как:

• документация о закупке сформулирована витиевато, в ней много мелких, не вполне обоснованных и нетривиальных требований к заявкам;
• наличие требований, которые в области применения закупаемых ТРУ не являются обычными и обязательными, особенно важно обращать внимание на требования или сочетания требований, которые объективно способна выполнить только одна компания — верный признак того, что ее интересы заказчик лоббирует;
• сложные условия исполнения контракта, например, заказчик заявляет слишком маленькие сроки исполнения — нередко это говорит о том, что по факту ТРУ заказчику уже поставлены, и теперь он стремится только легализовать это с помощью формальной процедуры;
• слишком маленькая НМЦК — расчет на то, что добросовестные участники не заинтересуются процедурой и не придут на нее.

Уличить участников в договоренности можно, если имеются такие признаки картельного сговора в госзакупках, как:

• значительное снижение НМЦК в начале процедуры — признак «тарана»;
• странные действия игроков, невыгодные решения с их стороны;
• необоснованно отсеиваются добросовестные участники;
• одна и та же команда участников кочует из одного тендера в другой.

Борьба с картелями — важный аспект государственной политики, и российский законодатель это осознает. В настоящий момент рассматривается инициатива по ужесточению этой борьбы, в частности, созданию цифрового реестра картелей.

Компании, внесенные в него, не смогут участвовать в государственных тендерах.

Картели — это не специфическая российская проблема, для противодействия картельным сговорам на торгах за рубежом создаются специальные госорганы, такие как Федеральное ведомство по картелям в Германии.

Как пожаловаться в ФАС

Первым органом государственной власти, который рассмотрит дело о картельном сговоре, является Федеральная антимонопольная служба; борьба с картелями — это сфера ее непосредственной компетенции.

Сообщать в ФАС об обнаруженном картеле можно:

• с помощью официального письменного обращения, отправленного по почте или принесенного лично в приемную госоргана. Особых требований к такому обращению не предъявляется, оно составляется в свободной форме, важно указать в нем адресата, заявителя, подробно изложить факты и подозрения и подкрепить документами, если таковые имеются;
• воспользоваться формой обратной связи на сайте ведомства, такие обращения рассматриваются как официальные.

Пример жалобы в ФАС на картельный сговор:

Если пропущен срок обращения в ФАС, либо если решение ФАС не устраивает кого-то из участников дела, вопрос передается на рассмотрение арбитражного суда — судебная практика по картельному сговору по 44-ФЗ велика и разнообразна. Суды решают вопрос о наличии или отсутствии картельной договоренности между компаниями по ряду прямых или косвенных признаков:

• анализируются IP-адреса, с которых компании подают заявки, если адреса совпадают, это один из аргументов в пользу наличия картели;
• история взаимоотношений: если компании часто участвуют в одних и тех же закупках и ведут себя схожим образом — это настораживает;
• настораживают и денежные транзакции между подозреваемыми компаниями или обнаружение документов одной из них в офисе другой.

Например, вынося решение по делу №А10-3052/2018, суд усмотрел в действиях фигурантов признаки схемы «таран».

Суд пришел к выводу, что три участника закупки вступили в картельный сговор: двое из них изобразили видимость борьбы и снизили цену контракта на 90%, но их заявки содержали ошибки, из-за чего контракт с ними не заключили. Победителем стал третий участник, который получил контракт при минимальном снижении НМЦК.

Еще одно показательное решение вынес Арбитражный суд Свердловской области по делу №А60-47465/2018. В процессе была рассмотрена история 17 аукционов, в которых принимали участие компании, подозреваемые в сговоре.

По итогам анализа всех процедур суд пришел к выводу, что в каждом из них фигуранты действовали сообща и в интересах друг друга. Мало того, установлено, что участники действовали с одного и того же IP-адреса и одним и тем же сотрудником.

Такое поведение признано картельным сговором.

Штрафы за картель

Участникам картельного сговора грозит административная, а в некоторых случаях и уголовная ответственность. Административная предусмотрена ст. 14.32 КоАП РФ:

• для должностных лиц штраф от 20 000 до 50 000 рублей или дисквалификация от одного года до трех лет;
• на юридических лиц — от 0,03 до 0,5 размера суммы НМЦК, но не менее 100 000 рублей.

Уголовная ответственность наступает по ст. 178 УК РФ в случаях, если действия заговорщиков повлекли крупный или особо крупный ущерб. В этом случае в качестве санкции возможны:

• принудительные работы до 5 лет;
• лишение права занимать определенные должности до 3 лет;
• лишение свободы до 6 лет с лишением права занимать определенные должности от 1 до 3 лет, либо без него;
• штраф до 1 000 000 рублей или без него.

Если ущерб причинен в крупном размере, срок давности картельного сговора — 2 года с момента совершения преступления; для особо крупных размеров срок давности составляет 6 лет.

Угрозы несанкционированного доступа к информации. Основные классы атак в сетях на базе TCP/IP

Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки.

Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу.

На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания.

Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Таблица 9.1.

Наименование протокола
Уровень стека протоколов

Наименование (характеристика) уязвимости
Содержание нарушения безопасности информации

FTP (File Transfer Protocol) – протокол передачи файлов по сети	Прикладной, представительный, сеансовый	Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) Доступ по умолчанию Наличие двух открытых портов	Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам
telnet – протокол управления удаленным терминалом	Прикладной, представительный, сеансовый	Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)	Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам
UDP – протокол передачи данных без установления соединения	Транспортный	Отсутствие механизма предотвращения перегрузок буфера	Возможность реализации UDР-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера
ARP – протокол преобразования IP-адреса в физический адрес	Сетевой	Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде)	Возможность перехвата трафика пользователя злоумышленником
RIP – протокол маршрутной информации	Транспортный	Отсутствие аутентификации управляющих сообщений об изменении маршрута	Возможность перенаправления трафика через хост злоумышленника
TCP – протокол управления передачей	Транспортный	Отсутствие механизма проверки корректности заполнения служебных заголовков пакета	Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS – протокол установления соответствия мнемонических имен и сетевых адресов	Прикладной, представительный, сеансовый	Отсутствие средств проверки аутентификации полученных данных от источника	Фальсификация ответа DNS-сервера
IGMP – протокол передачи сообщений о маршрутизации	Сетевой	Отсутствие аутентификации сообщений об изменении параметров маршрута	Зависание систем Win 9x/NT/2000
SMTP – протокол обеспечения сервиса доставки сообщений по электронной почте	Прикладной, представительный, сеансовый	Отсутствие поддержки аутентификации заголовков сообщений	Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP – протокол управления маршрутизаторами в сетях	Прикладной, представительный, сеансовый	Отсутствие поддержки аутентификации заголовков сообщений	Возможность переполнения пропускной способности сети

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

1. характер угрозы.

   Пассивная – угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для «прослушивания» сети.

   Активная – угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS-атака в виде шторма TCP-запросами.

2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
3. условие начала атаки:
   • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
   • по наступлению ожидаемого события на атакуемом объекте.
   • безусловное воздействие – злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
4. наличие обратной связи с атакуемым объектом:
   • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
   • без обратной связи – соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
5. расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети – физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring.
6. уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде – FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

   Защита от данного вида атаки может заключаться в следующем:

   • Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
   • Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
   • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.
   • Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.
2. Сканирование сети.Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т.п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
   • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
   • эхо-тестирование – выявляет работающие хосты на основе DNS-адресов, полученных ранее;
   • сканирование портов – составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

   Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора.

   Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

3. Выявление пароля.Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов – простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.).

   Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

   Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

4. IP-spoofing или подмена доверенного объекта сети.Под доверенным в данном случае понимается объект сети ( компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

   Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

   • контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.