95756

ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

Лекция

Информатика, кибернетика и программирование

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями. Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Украинкский

2015-09-29

125.5 KB

0 чел.

ЛЕКЦІЯ №4. ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

До основних засобів захисту комп’ютерних мереж відносяться:

  1.  Криптографічні системи.
  2.  Системи аналізу захищеності.
  3.  Брандмауери.
  4.  Системи виявлення атак.
  5.  Антивірусне програмне забезпечення.
  6.  Системи резервування даних.
  7.  Обманні системи.

1. Криптографічні системи

Криптографічні системи поділяються:

  1.  Симетричні криптографічні системи.
  2.  Асиметричні криптографічні системи.
  3.  Системи цифрового підпису.
  4.  Системи генерування та розподілу ключів.

2. Принципи роботи систем аналізу захищенності

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями.

Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Системи аналізу захищеності здатні виявляти в мережевій інфраструктурі, аналізувати і видавати рекомендації по їх усуненню, а також різного роду звіти.

До типових вразливостей можна віднести:

  •  відсутність оновлень системи безпеки операційних систем;
  •  неправильне налаштування системи безпеки операційних систем;
  •  невідповідні паролі;
  •  сприйнятливість до проникнення із зовнішніх систем;
  •  програмні закладки;
  •  неправильні налаштування системного і прикладного програмного забезпечення, що встановлене на операційні системи.

Більшість систем аналізу захищеності (XSpider, Internet Scanner, LanGuard, Nessus) виявляють вразливості не лише в операційних системах, але і в найбільш розповсюдженому прикладному програмному забезпеченні. Існує два підходи, за допомогою яких системи аналізу захищеності виявляють вразливості: сканування і зондування.

Під час сканування система аналізу захищеності намагається визначити наявність вразливостей за непрямими ознаками, тобто без фактичного підтвердження її наявності – це пасивний аналіз. Даний підхід являється найбільш швидким і простим в реалізації.

При зондуванні система аналізу захищеності імітує ту атаку, яка використовує вразливість, що перевіряється, тобто відбувається активний аналіз. Даний підхід є більш повільним, проте дозволяє впевнитись у присутності вразливості на комп’ютері, що досліджується.

На практиці, ці два підходи реалізуються в сканерах безпеки через наступні методи перевірки:

  •  перевірка заголовків (Banner check);
  •  активні перевірки зондуванням (Active probing check);
  •  імітація атак (Exploit check).

Перший метод базується на підході «сканування» і дозволяє робити висновки про вразливості спираючись на інформацію в заголовку відповіді на запит сканера безпеки. Прикладом такої перевірки є аналіз заголовків поштової програми Sendmail, в результаті чого можна взнати її версію і зробити висновок про наявність в ній вразливості.

Активні перевірки зондуванням також основані на підході «сканування». При даному методі порівнюються фрагменти програмного забезпечення, що сканується, із сигнатурою відомої вразливості, що зберігається в базі даних системи аналізу захищеності. Різновидом цього методу є перевірка контрольних сум і дати програмного забезпечення, що сканується.

Метод імітації атак базується на використанні різних дефектів в програмному забезпеченні, і реалізує підхід «зондування». Існують вразливості які не можуть бути виявлені без блокування або порушення функціонування сервісів операційної системи в процесі сканування. При скануванні критичних серверів корпоративної мережі небажано використання даного методу, оскільки він може вивести їх із ладу. В такому випадку сканер безпеки успішно реалізує атаку «Denial of service». Тому в більшості систем аналізу захищеності за умовчанням такі перевірки виключені.

При їх включенні в процес сканування як правило видається попереджувальне повідомлення.

3. Брандмауери

Правила доступу до внутрішніх ресурсів повинні базуватися на одному із принципів:

1) забороняти все, що не дозволено в явній формі;

2) дозволяти все, що не дозволено в явній формі.

Реалізація брандмауера на основі першого принципу забезпечує значну захищеність. Але правила доступу, сформульовані у відповідності з цим принципом, можуть бути незручними для користувачів, крім того їх реалізація потребує значних затрат. При реалізації другого принципу внутрішня мережа є менш захищеною від нападів зловмисників, проте користуватися нею більш зручно і потребується менше затрат.

Компоненти брандмауерів:

  1.  Фільтруючі маршрутизатори. Являють собою маршрутизатор, або програму, що працює на сервері, конфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP- і IP- заголовках пакетів.
  2.  Шлюзи мережевого рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюзи мережевого рівня приймає запит довіреного клієнта на конкретні послуги і після перевірки допустимості запитаного сеансу встановлює з’єднання із зовнішнім хост-комп’ютером. Після цього шлюз копіює пакети в обох напрямах, не здійснюючи їх фільтрації. Шлюз слідкує за підтвердженням зв’язку між авторизованим клієнтом і зовнішнім хост-комп’ютером, визначаючи, чи є сеанс зв’язку, що запитується, допустимим.
  3.  Шлюзи прикладного рівня. Для усунення ряду недоліків фільтруючих маршрутизаторів, брандмауери повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називають серверами-посередниками, а хост-комп’ютер, на якому вони виконуються – шлюзами прикладного рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюз фільтрує усі вхідні і вихідні пакети на прикладному рівні. Пов’язані з додатками сервери-посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Ці категорії є базовими компонентами реальних брандмауерів. Небагато брандмауерів містять лише одну із перерахованих категорій. Ці категорії відображають ключові можливості, що відрізняють брандмауери один від одного.

4. Системи виявлення атак

Системи виявлення атак (Intrusion Detection System, IDS) поділяються на наступні категорії:

1. Системи виявлення атак на мережевому рівні (Network IDS, NIDS) контролюють пакети в мережевому оточенні і виявляють спроби зловмисника проникнути всередину системи, що захищається, (чи реалізувати атаку типу "відмова в обслуговуванні"). Система виявлення атак на мережному рівні (NIDS) може бути запущена або на окремому комп'ютері, що контролює свій власний трафік, чи на виділеному комп'ютері, що прозоро переглядає весь трафік в мережі (концентратор, маршрутизатор). Даний тип дозволяє контролювати багато комп'ютерів, тоді як інші системи виявлення атак контролюють тільки один (той, на якому вони встановлені).

2. Системи контролю цілісності (System integrity verifiers, SIV) перевіряють системні файли для того, щоб визначити, коли зловмисник вніс у них зміни.

3. Монітори реєстраційних файлів (Log-file monitors, LFM) контролюють реєстраційні файли, які створені мережевими сервісами і службами. Ці системи шукають відомі сигнатури, тільки у файлах реєстрації, що вказують на те, що зловмисник здійснив атаку.

Способи виявлення атак:

1. Розпізнавання сигнатури є найбільш розповсюдженим методом, при якому вхідний/вихідний трафік порівнюється з відомими "сигнатурами". Наприклад, велике число TCP-з'єднань з різними портами вказує на те, що хтось займається скануванням TCP-портів.

2. Виявлення аномалій є іншим методом, коли відхилення від основного режиму функціонування описуються такими параметрами як раптове збільшення трафіку, використання CPU, звертання до файлів і т.д. Цей метод менш ефективний, ніж розпізнавання сигнатури, але має перевагу: може виявляти атаки, для яких немає сигнатур.

Виявлення може здійснюватися як у реальному масштабі часу, так і шляхом читання журналів реєстрації вже минулих подій.

5. Антивірусне програмне забезпечення

До основних антивірусних засобів відносяться:

– детектори – виявляють заражену  програму; при  цьому відшукується частина коду, характерна для того чи іншого вірусу;

Приклади: ViruScan, NetScan, Aidstest, DrWeb.

– фаги (лікарі) – "викушують" вірус із зараженої програми;

Приклади: Clean-Up, M-Disk, Aidstest, DrWeb.

– сторожа (фільтри) – це резидентні  програми, які контролюють підозрілі дії програм, що запускаються, і блокують їх, або видають користувачу попередження;

  •  ревізори – підраховують контрольні суми програм і порівнюють їх з еталонними; еталони зберігаються в окремому захищеному файлі;

Приклад: AdInf.

– вакцини – подавляють можливість вірусу до самодублювання.

6. Системи резервування

Резервування програм і даних може здійснюватись багатьма способами: за рахунок дзеркальних дисків, резервного копіювання і відновлення, реплікації баз даних і т.д.

Виділяють наступні класи резервування:

  1.  Симетричне/асиметричне. Симетричне – коли всі сервери, що надають даний сервіс, можуть змінювати інформацію, що належить їм,і передавати зміни іншим серверам.
  2.  Синхронні/асинхронні. Синхронне – зміни передаються всім екземплярам сервісу в рамках однієї розподіленої транзакції.
  3.  Те що здійснюється засобами сервісу, що зберігає інформацію/зовнішніми засобами.

7. Обманні системи

Обманні системи (deception systems), що працюють із псевдо-сервісами, ціль яких полягає у відтворенні добре відомих слабких місць для того, щоб обдурити зловмисників. Як приклад можна назвати систему The Deception Tool Kit (http://www.all.net/dtk/).


 

А также другие работы, которые могут Вас заинтересовать

15897. Природа художественной целостности комедий А.П. Чехова Чайка и Вишнёвый сад 87 KB
  О.С. Рощина Природа художественной целостности комедий А.П. Чехова Чайка и Вишнёвый сад Olga Roschina in her work The Nature of Artistic Integrity of Chekhov`s Comedies Seagull and Cherry Orchard treats them from the point of aesthetic analises of the text. The ironical nature of Chekhov`s texts is proved which are often interpreted in a pseudoChekhov`s elegical way. В чеховедении доста
15898. ТЕОРЕТИЧЕСКАЯ ПОЭТИКА: понятия и определения 2.04 MB
  Цель предлагаемой хрестоматии — предоставить в распоряжение преподавателя и студента отобранные из различных, не связанных друг с другом источников и в то же время систематизированные определения основных понятий теоретической поэтики
15899. Методическое пособие по определению сметной стоимости капитального ремонта зданий и сооружений жилищно-гражданского назначения 4.23 MB
  А.И. Барабанов. Методическое пособие по определению сметной стоимости капитального ремонта зданий и сооружений жилищногражданского назначения Руководитель разработки: П.В. Горячкин В пособии приводятся: действующий и перспективный порядок определения сметной...
15900. ВВЕДЕНИЕ В СОВРЕМЕННУЮ ГАРМОНИЮ 1.44 MB
  Н.Гуляницкая ВВЕДЕНИЕ В СОВРЕМЕННУЮ ГАРМОНИЮ ПРЕДИСЛОВИЕ. Глава первая вводная. 1. Искусство XX века как предмет искусствознания. 2. Стилевой анализ. 11 3. Понятие гармонии. 14 4. Гармония и музыкальная композиция. 17 5. К вопросу об интерпретации и оценк...
15901. Стилевые метаморфозы рока (издание первое) 800.5 KB
  Музыка, родившаяся тогда, наряду с поэзией, философией и другими мировоззренческими формами молодежного движения, стала частью некоего духовного процесса, в своей основе неоднородного. В русле единого жанрового и стилевого течения сформировались резко полярные явления.
15902. ГАРМОНИЯ ТЕОРЕТИЧЕСКИЙ КУРС 15.27 MB
  Настоящая книга, являясь теоретическим курсом, одновременно представляет собой научное исследование фундаментальных проблем гармонии. Автор рассматривает многие коренные вопросы гармонии в виде целостной структуры, в контексте музыкальной формы. Главная задача данного исследования - дать на современном научном уровне по возможности исчерпывающее изложение основополагающих теоретических проблем гармонии, вводящее музыку XX века в общий музыкально-гармонический контекст так же естественно, как и само искусство прошлого перешло к нашему времени.
15903. Теоретические основы современной гармонии 15.56 MB
  Сегодняшний курс гармонии в средних и высших музыкальных учебных заведениях нуждается в постоянном расширении своей тематики, ее активном приближении к новым художественным явлениям музыкального искусства XX столетия. Необходимость в этом продиктована все более нарастающим интересом будущих музыкантов к произведениям нашего времени, к тайнам творческих лабораторий композиторов разных школ и направлений.
15904. Физическое воспитание начинающего боксёра 639.5 KB
  В.А.Чудинов Физическое воспитание начинающего боксёра Предисловие Физическое воспитание способствует укреплению здоровья и гармоническому развитию организма. В его задачу входит развитие быстроты силы ловкости гибкости выносливости воспитание волев
15905. Расчет цифровых тропосферных радиорелейных линий 5.87 MB
  Курсовой проект по теме Расчет цифровых тропосферных радиорелейных линий Введение Эффект дальнего тропосферного распространения радиоволн дециметрового и сантиметрового диапазонов волн был открыт в начале 50х годов. Его практическое применение дало возможность