Kluczem do zwiększenia bezpieczeństwa sieci jest lepsze zrozumienie ataków. Atak nie pojawia się nagle - jest poprzedzony fazą zbierania informacji o celu. Potencjalny napastnik szuka w sieci nieszczelności w celu określenia, jaki typ ataku można przeprowadzić. Jest to etap rekonesansu.

Typowy atak ma trzy etapy:

• działalność rozpoznawcza (rekonesans);
• przepływ informacji z rozpoznania do napastnika;
• właściwy atak, przeprowadzony na podstawie informacji uzyskanych podczas rekonesansu.

Zrozumienie tego jest podstawą strategii obrony. W praktyce personel odpowiedzialny za bezpieczeństwo może wykorzystać charakterystyczne dla ataku przepływy informacji do powstrzymania go, zanim osiągnie cel.

Rekonesans jest integralną i istotną częścią każdego ataku. żeby atak był skuteczny, napastnik musi znać topologię sieci, usługi sieciowe, wersje oprogramowania itp. Odmiennie niż w przypadku ataku liczba metod przeprowadzania rekonesansu jest ograniczona. Mogą one być nieco odmienne, ale wszystkie mają te same cechy podstawowe.

Typowe techniki rekonesansu to:

1. Skanowanie portu TCP/IP. Napastnik operuje na poziomie sieciowym, identyfikując otwarte porty TCP lub UDP w hostach sieciowych. est to bardzo ważna informacja, ponieważ ujawnia pracujące na tych hostach aplikacje dostępne z sieci.
2. Sondy NetBIOS. Pytają hosty IP o nazwy komputerów, nazwy użytkowników, współdzielone zasoby (takie jak współdzielone katalogi lub drukarki) itp. Odpowiedź na taką sondę ujawnia obiekty poszukiwane przez napastnika oraz to, że sondowany host IP obsługuje poziom NetBIOS.
3. Sondy SNMP. Wykorzystują protokół Simple Network Management Protocol, używany w prawie wszystkich systemach zarządzających do komunikacji urządzeń sieciowych z konsolą zarządzającą. SNMP przenosi informacje o naturze, konfiguracji, topologii i stanie tych urządzeń. W rezultacie napastnik może uzyskać cenną wiedzę o wszystkich typach zasobów sieci.
4. Inne metody. Poza wyżej wymienionymi są też sondy oparte na HTTP, sondy „finger” i inne. W sumie jest ok. 20 podstawowych kategorii rekonesansu.

Zazwyczaj napastnik używa różnych technik. Po każdym skutecznym rozpoznaniu wie więcej o nieszczelnościach sieci: „niezałatanych” usługach, widocznych zasobach NetBIOS, otwartych portach FTP. Nawet jeżeli rekonesans nie pozwoli na uzyskanie danych, napastnik dowiaduje się czegoś o sieci, np. Czy host jest dostępny, czy nie. Pomaga mu to udoskonalać strategię ataku.

Sieć można skutecznie chronić, skupiając się na rozpoznawaniu, ograniczonych liczebnie, znanych metod rekonesansu, zamiast symptomów właściwych ataków - reprezentujących dużo większą i stale rosnącą różnorodność. Podstawowym problemem w tym przypadku jest wyeliminowanie fałszywych rozpoznań.

Zobacz także

• Filtrowanie ruchu webowego
• Formy zagrożeń
• Kontrola zawartości poczty elektronicznej
• Obrona przed Denial of Service
• Strefa bezpieczeństwa sieci
• Spyware - programy wywiadowcze
• Systemy IDS
• Techniki penetracji sieci
• Załączniki i ochrona antywirusowa
• Zintegrowane rozwiązania ochronne