95756

ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

Лекция

Информатика, кибернетика и программирование

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями. Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Украинкский

2015-09-29

125.5 KB

0 чел.

ЛЕКЦІЯ №4. ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

До основних засобів захисту комп’ютерних мереж відносяться:

  1.  Криптографічні системи.
  2.  Системи аналізу захищеності.
  3.  Брандмауери.
  4.  Системи виявлення атак.
  5.  Антивірусне програмне забезпечення.
  6.  Системи резервування даних.
  7.  Обманні системи.

1. Криптографічні системи

Криптографічні системи поділяються:

  1.  Симетричні криптографічні системи.
  2.  Асиметричні криптографічні системи.
  3.  Системи цифрового підпису.
  4.  Системи генерування та розподілу ключів.

2. Принципи роботи систем аналізу захищенності

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями.

Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Системи аналізу захищеності здатні виявляти в мережевій інфраструктурі, аналізувати і видавати рекомендації по їх усуненню, а також різного роду звіти.

До типових вразливостей можна віднести:

  •  відсутність оновлень системи безпеки операційних систем;
  •  неправильне налаштування системи безпеки операційних систем;
  •  невідповідні паролі;
  •  сприйнятливість до проникнення із зовнішніх систем;
  •  програмні закладки;
  •  неправильні налаштування системного і прикладного програмного забезпечення, що встановлене на операційні системи.

Більшість систем аналізу захищеності (XSpider, Internet Scanner, LanGuard, Nessus) виявляють вразливості не лише в операційних системах, але і в найбільш розповсюдженому прикладному програмному забезпеченні. Існує два підходи, за допомогою яких системи аналізу захищеності виявляють вразливості: сканування і зондування.

Під час сканування система аналізу захищеності намагається визначити наявність вразливостей за непрямими ознаками, тобто без фактичного підтвердження її наявності – це пасивний аналіз. Даний підхід являється найбільш швидким і простим в реалізації.

При зондуванні система аналізу захищеності імітує ту атаку, яка використовує вразливість, що перевіряється, тобто відбувається активний аналіз. Даний підхід є більш повільним, проте дозволяє впевнитись у присутності вразливості на комп’ютері, що досліджується.

На практиці, ці два підходи реалізуються в сканерах безпеки через наступні методи перевірки:

  •  перевірка заголовків (Banner check);
  •  активні перевірки зондуванням (Active probing check);
  •  імітація атак (Exploit check).

Перший метод базується на підході «сканування» і дозволяє робити висновки про вразливості спираючись на інформацію в заголовку відповіді на запит сканера безпеки. Прикладом такої перевірки є аналіз заголовків поштової програми Sendmail, в результаті чого можна взнати її версію і зробити висновок про наявність в ній вразливості.

Активні перевірки зондуванням також основані на підході «сканування». При даному методі порівнюються фрагменти програмного забезпечення, що сканується, із сигнатурою відомої вразливості, що зберігається в базі даних системи аналізу захищеності. Різновидом цього методу є перевірка контрольних сум і дати програмного забезпечення, що сканується.

Метод імітації атак базується на використанні різних дефектів в програмному забезпеченні, і реалізує підхід «зондування». Існують вразливості які не можуть бути виявлені без блокування або порушення функціонування сервісів операційної системи в процесі сканування. При скануванні критичних серверів корпоративної мережі небажано використання даного методу, оскільки він може вивести їх із ладу. В такому випадку сканер безпеки успішно реалізує атаку «Denial of service». Тому в більшості систем аналізу захищеності за умовчанням такі перевірки виключені.

При їх включенні в процес сканування як правило видається попереджувальне повідомлення.

3. Брандмауери

Правила доступу до внутрішніх ресурсів повинні базуватися на одному із принципів:

1) забороняти все, що не дозволено в явній формі;

2) дозволяти все, що не дозволено в явній формі.

Реалізація брандмауера на основі першого принципу забезпечує значну захищеність. Але правила доступу, сформульовані у відповідності з цим принципом, можуть бути незручними для користувачів, крім того їх реалізація потребує значних затрат. При реалізації другого принципу внутрішня мережа є менш захищеною від нападів зловмисників, проте користуватися нею більш зручно і потребується менше затрат.

Компоненти брандмауерів:

  1.  Фільтруючі маршрутизатори. Являють собою маршрутизатор, або програму, що працює на сервері, конфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP- і IP- заголовках пакетів.
  2.  Шлюзи мережевого рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюзи мережевого рівня приймає запит довіреного клієнта на конкретні послуги і після перевірки допустимості запитаного сеансу встановлює з’єднання із зовнішнім хост-комп’ютером. Після цього шлюз копіює пакети в обох напрямах, не здійснюючи їх фільтрації. Шлюз слідкує за підтвердженням зв’язку між авторизованим клієнтом і зовнішнім хост-комп’ютером, визначаючи, чи є сеанс зв’язку, що запитується, допустимим.
  3.  Шлюзи прикладного рівня. Для усунення ряду недоліків фільтруючих маршрутизаторів, брандмауери повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називають серверами-посередниками, а хост-комп’ютер, на якому вони виконуються – шлюзами прикладного рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюз фільтрує усі вхідні і вихідні пакети на прикладному рівні. Пов’язані з додатками сервери-посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Ці категорії є базовими компонентами реальних брандмауерів. Небагато брандмауерів містять лише одну із перерахованих категорій. Ці категорії відображають ключові можливості, що відрізняють брандмауери один від одного.

4. Системи виявлення атак

Системи виявлення атак (Intrusion Detection System, IDS) поділяються на наступні категорії:

1. Системи виявлення атак на мережевому рівні (Network IDS, NIDS) контролюють пакети в мережевому оточенні і виявляють спроби зловмисника проникнути всередину системи, що захищається, (чи реалізувати атаку типу "відмова в обслуговуванні"). Система виявлення атак на мережному рівні (NIDS) може бути запущена або на окремому комп'ютері, що контролює свій власний трафік, чи на виділеному комп'ютері, що прозоро переглядає весь трафік в мережі (концентратор, маршрутизатор). Даний тип дозволяє контролювати багато комп'ютерів, тоді як інші системи виявлення атак контролюють тільки один (той, на якому вони встановлені).

2. Системи контролю цілісності (System integrity verifiers, SIV) перевіряють системні файли для того, щоб визначити, коли зловмисник вніс у них зміни.

3. Монітори реєстраційних файлів (Log-file monitors, LFM) контролюють реєстраційні файли, які створені мережевими сервісами і службами. Ці системи шукають відомі сигнатури, тільки у файлах реєстрації, що вказують на те, що зловмисник здійснив атаку.

Способи виявлення атак:

1. Розпізнавання сигнатури є найбільш розповсюдженим методом, при якому вхідний/вихідний трафік порівнюється з відомими "сигнатурами". Наприклад, велике число TCP-з'єднань з різними портами вказує на те, що хтось займається скануванням TCP-портів.

2. Виявлення аномалій є іншим методом, коли відхилення від основного режиму функціонування описуються такими параметрами як раптове збільшення трафіку, використання CPU, звертання до файлів і т.д. Цей метод менш ефективний, ніж розпізнавання сигнатури, але має перевагу: може виявляти атаки, для яких немає сигнатур.

Виявлення може здійснюватися як у реальному масштабі часу, так і шляхом читання журналів реєстрації вже минулих подій.

5. Антивірусне програмне забезпечення

До основних антивірусних засобів відносяться:

– детектори – виявляють заражену  програму; при  цьому відшукується частина коду, характерна для того чи іншого вірусу;

Приклади: ViruScan, NetScan, Aidstest, DrWeb.

– фаги (лікарі) – "викушують" вірус із зараженої програми;

Приклади: Clean-Up, M-Disk, Aidstest, DrWeb.

– сторожа (фільтри) – це резидентні  програми, які контролюють підозрілі дії програм, що запускаються, і блокують їх, або видають користувачу попередження;

  •  ревізори – підраховують контрольні суми програм і порівнюють їх з еталонними; еталони зберігаються в окремому захищеному файлі;

Приклад: AdInf.

– вакцини – подавляють можливість вірусу до самодублювання.

6. Системи резервування

Резервування програм і даних може здійснюватись багатьма способами: за рахунок дзеркальних дисків, резервного копіювання і відновлення, реплікації баз даних і т.д.

Виділяють наступні класи резервування:

  1.  Симетричне/асиметричне. Симетричне – коли всі сервери, що надають даний сервіс, можуть змінювати інформацію, що належить їм,і передавати зміни іншим серверам.
  2.  Синхронні/асинхронні. Синхронне – зміни передаються всім екземплярам сервісу в рамках однієї розподіленої транзакції.
  3.  Те що здійснюється засобами сервісу, що зберігає інформацію/зовнішніми засобами.

7. Обманні системи

Обманні системи (deception systems), що працюють із псевдо-сервісами, ціль яких полягає у відтворенні добре відомих слабких місць для того, щоб обдурити зловмисників. Як приклад можна назвати систему The Deception Tool Kit (http://www.all.net/dtk/).


 

А также другие работы, которые могут Вас заинтересовать

27359. Концепции развивающего обучения 18.79 KB
  Основы теории развивающего обучения были заложены Л. Занкова было предпринято масштабное экспериментальное исследование по изучению объективных закономерностей и принципов обучения. Усилия исследователей были направлены на разработку дидактической системы обучения младших школьников имеющей целью их общее психическое развитие.
27360. Психологические основы проблемного обучения 21.31 KB
  История проблемного обучения начинается с введения так называемого исследовательского метода многие правила которого были разработаны Джоном Дьюи. В XX столетии идеи проблемного обучения получили интенсивное развитие и распространение в образовательной практике. В зарубежной педагогике концепция проблемного обучения развивалась под влиянием идей Дж.
27361. Исследовательское обучение в начальной школе 24.68 KB
  Главная особенность исследовательского обучения активизировать учебную работу детей придав ей исследовательский творческий характер и таким образом передать учащимся инициативу в организации своей познавательной деятельности. Если задачи исследовательского обучения свести к поощрению учащегося проявлять природную любознательность задавать вопросы и стараться самостоятельно находить на них ответы то оказывается что мы отстаиваем лишь то о чем давно говорили и что даже осуществляли на практике многие талантливые педагоги прошлого....
27362. Эмоции и чувства 21.82 KB
  С поступлением в школу максимум эмоциональных реакций приходится не столько на игру и общение сколько на процесс и результат учебной деятельности удовлетворение потребностей в оценке и добром отношении окружающих.Воля обнаруживает себя в умении совершать действия или сдерживать их преодолевая внешние или внутренние препятствия в формировании дополнительных мотивовстимулов к слабомотивированной деятельности.Волевое действие школьника развивается в том случае если: цели которых он должен достигнуть в деятельности им поняты и осознаны;...
27363. Личность в психологии. Характер человека 25.5 KB
  Индивидуальность проявляется в чертах темперамента характера привычках преобладающих интересах в качествах познавательных процессов восприятия памяти мышления воображения в способностях индивидуальном стиле деятельности и т. Характер это совокупность устойчивых индивидуальных особенностей личности складывающаяся и проявляющаяся в деятельности и общении обусловливая типичные для индивида способы поведения. Экстровертный тип эмоциональная взвинченность жажда общения и деятельности зачастую безотносительно к ее необходимости и...
27364. Самосознание в психической деятельности человека 25.89 KB
  Самосознание в психической деятельности человека выступает как сложный процесс опосредованного познания себя развернутый во времени связанный с движением от единичных ситуативных образов через интеграцию подобных ситуативных образов в целостное образование понятие собственного Я. Во всех видах деятельности и поведения эти отношения следуют за отношением к ситуации предмету и средствам деятельности к другим людям. Они наиболее тесно связаны с целями жизни и деятельности ценностными ориентациями установками; выполняя функцию...
27365. Восприятие 19.51 KB
  В отличие от ощущений отражающих лишь отдельные свойства предметов в образе восприятия в качестве единицы взаимодействия представлен весь предмет в совокупности его инвариантных свойств. Образ восприятия выступает как результат синтеза ощущений возможность которого по мнению А. При этом особенно важную роль во всех видах восприятия играют двигательные или кинестезические ощущения которые регулируют по принципу обратной связи реальные взаимоотношения субъекта с предметом. Также в процессе слухового восприятия активную роль играют...
27366. Формирование читательских интересов и читательской самостоятельности младших школьников в процессе обучения чтению 147 KB
  Ведущей с точки зрения организации содержания является идея единства мира природы и мира культуры. С этой принципиальной позиции окружающий мир рассматривается как природнокультурное целое а человек как часть природы как создатель культуры и как её продукт т. Ведь именно ценностноконсолидирующее пространство культуры обеспечивает согласие между людьми в обществе и помогает им определить своё место в мире природы как в жизненно важной сфере человеческого бытия. Сферы природной и социальной жизни предстают в их единстве и тесной взаимной...
27367. Формирование основ художественной культуры в образовательном процессе начальной школы (на примере уроков изобразительного искусства, музыки) 43.5 KB
  Ценности = произведения искусства. Выделяются отдел обл худ кры по разным видам искусства: муз кра чела опредся его причастностью к муз ценностям и потртью в общении с ними Проблема: не все могут оценить красоту шедевров музыки т. Предметная область Искусство играет большую роль в становлении личности ученика так как способствует его личностному развитию обеспечивая осознание значения искусства и творчества в личной и культурной самоидентификации личности развитие эстетического вкуса художественного мышления обучающихся.