95756

ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

Лекция

Информатика, кибернетика и программирование

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями. Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Украинкский

2015-09-29

125.5 KB

0 чел.

ЛЕКЦІЯ №4. ЗАСОБИ ЗАХИСТУ КОМП’ЮТЕРНИХ МЕРЕЖ

До основних засобів захисту комп’ютерних мереж відносяться:

  1.  Криптографічні системи.
  2.  Системи аналізу захищеності.
  3.  Брандмауери.
  4.  Системи виявлення атак.
  5.  Антивірусне програмне забезпечення.
  6.  Системи резервування даних.
  7.  Обманні системи.

1. Криптографічні системи

Криптографічні системи поділяються:

  1.  Симетричні криптографічні системи.
  2.  Асиметричні криптографічні системи.
  3.  Системи цифрового підпису.
  4.  Системи генерування та розподілу ключів.

2. Принципи роботи систем аналізу захищенності

Для розуміння принципів роботи систем аналізу захищеності, необхідно розібратися з основними термінами та визначеннями.

Ключовим поняттям є вразливість. Під вразливістю захисту операційної системи розуміється така її властивість (недолік), яка може бути використана порушником для здійснення несанкціонованого доступу до інформації.

Системи аналізу захищеності здатні виявляти в мережевій інфраструктурі, аналізувати і видавати рекомендації по їх усуненню, а також різного роду звіти.

До типових вразливостей можна віднести:

  •  відсутність оновлень системи безпеки операційних систем;
  •  неправильне налаштування системи безпеки операційних систем;
  •  невідповідні паролі;
  •  сприйнятливість до проникнення із зовнішніх систем;
  •  програмні закладки;
  •  неправильні налаштування системного і прикладного програмного забезпечення, що встановлене на операційні системи.

Більшість систем аналізу захищеності (XSpider, Internet Scanner, LanGuard, Nessus) виявляють вразливості не лише в операційних системах, але і в найбільш розповсюдженому прикладному програмному забезпеченні. Існує два підходи, за допомогою яких системи аналізу захищеності виявляють вразливості: сканування і зондування.

Під час сканування система аналізу захищеності намагається визначити наявність вразливостей за непрямими ознаками, тобто без фактичного підтвердження її наявності – це пасивний аналіз. Даний підхід являється найбільш швидким і простим в реалізації.

При зондуванні система аналізу захищеності імітує ту атаку, яка використовує вразливість, що перевіряється, тобто відбувається активний аналіз. Даний підхід є більш повільним, проте дозволяє впевнитись у присутності вразливості на комп’ютері, що досліджується.

На практиці, ці два підходи реалізуються в сканерах безпеки через наступні методи перевірки:

  •  перевірка заголовків (Banner check);
  •  активні перевірки зондуванням (Active probing check);
  •  імітація атак (Exploit check).

Перший метод базується на підході «сканування» і дозволяє робити висновки про вразливості спираючись на інформацію в заголовку відповіді на запит сканера безпеки. Прикладом такої перевірки є аналіз заголовків поштової програми Sendmail, в результаті чого можна взнати її версію і зробити висновок про наявність в ній вразливості.

Активні перевірки зондуванням також основані на підході «сканування». При даному методі порівнюються фрагменти програмного забезпечення, що сканується, із сигнатурою відомої вразливості, що зберігається в базі даних системи аналізу захищеності. Різновидом цього методу є перевірка контрольних сум і дати програмного забезпечення, що сканується.

Метод імітації атак базується на використанні різних дефектів в програмному забезпеченні, і реалізує підхід «зондування». Існують вразливості які не можуть бути виявлені без блокування або порушення функціонування сервісів операційної системи в процесі сканування. При скануванні критичних серверів корпоративної мережі небажано використання даного методу, оскільки він може вивести їх із ладу. В такому випадку сканер безпеки успішно реалізує атаку «Denial of service». Тому в більшості систем аналізу захищеності за умовчанням такі перевірки виключені.

При їх включенні в процес сканування як правило видається попереджувальне повідомлення.

3. Брандмауери

Правила доступу до внутрішніх ресурсів повинні базуватися на одному із принципів:

1) забороняти все, що не дозволено в явній формі;

2) дозволяти все, що не дозволено в явній формі.

Реалізація брандмауера на основі першого принципу забезпечує значну захищеність. Але правила доступу, сформульовані у відповідності з цим принципом, можуть бути незручними для користувачів, крім того їх реалізація потребує значних затрат. При реалізації другого принципу внутрішня мережа є менш захищеною від нападів зловмисників, проте користуватися нею більш зручно і потребується менше затрат.

Компоненти брандмауерів:

  1.  Фільтруючі маршрутизатори. Являють собою маршрутизатор, або програму, що працює на сервері, конфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP- і IP- заголовках пакетів.
  2.  Шлюзи мережевого рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюзи мережевого рівня приймає запит довіреного клієнта на конкретні послуги і після перевірки допустимості запитаного сеансу встановлює з’єднання із зовнішнім хост-комп’ютером. Після цього шлюз копіює пакети в обох напрямах, не здійснюючи їх фільтрації. Шлюз слідкує за підтвердженням зв’язку між авторизованим клієнтом і зовнішнім хост-комп’ютером, визначаючи, чи є сеанс зв’язку, що запитується, допустимим.
  3.  Шлюзи прикладного рівня. Для усунення ряду недоліків фільтруючих маршрутизаторів, брандмауери повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називають серверами-посередниками, а хост-комп’ютер, на якому вони виконуються – шлюзами прикладного рівня. Такі шлюзи виключають пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп’ютером. Шлюз фільтрує усі вхідні і вихідні пакети на прикладному рівні. Пов’язані з додатками сервери-посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Ці категорії є базовими компонентами реальних брандмауерів. Небагато брандмауерів містять лише одну із перерахованих категорій. Ці категорії відображають ключові можливості, що відрізняють брандмауери один від одного.

4. Системи виявлення атак

Системи виявлення атак (Intrusion Detection System, IDS) поділяються на наступні категорії:

1. Системи виявлення атак на мережевому рівні (Network IDS, NIDS) контролюють пакети в мережевому оточенні і виявляють спроби зловмисника проникнути всередину системи, що захищається, (чи реалізувати атаку типу "відмова в обслуговуванні"). Система виявлення атак на мережному рівні (NIDS) може бути запущена або на окремому комп'ютері, що контролює свій власний трафік, чи на виділеному комп'ютері, що прозоро переглядає весь трафік в мережі (концентратор, маршрутизатор). Даний тип дозволяє контролювати багато комп'ютерів, тоді як інші системи виявлення атак контролюють тільки один (той, на якому вони встановлені).

2. Системи контролю цілісності (System integrity verifiers, SIV) перевіряють системні файли для того, щоб визначити, коли зловмисник вніс у них зміни.

3. Монітори реєстраційних файлів (Log-file monitors, LFM) контролюють реєстраційні файли, які створені мережевими сервісами і службами. Ці системи шукають відомі сигнатури, тільки у файлах реєстрації, що вказують на те, що зловмисник здійснив атаку.

Способи виявлення атак:

1. Розпізнавання сигнатури є найбільш розповсюдженим методом, при якому вхідний/вихідний трафік порівнюється з відомими "сигнатурами". Наприклад, велике число TCP-з'єднань з різними портами вказує на те, що хтось займається скануванням TCP-портів.

2. Виявлення аномалій є іншим методом, коли відхилення від основного режиму функціонування описуються такими параметрами як раптове збільшення трафіку, використання CPU, звертання до файлів і т.д. Цей метод менш ефективний, ніж розпізнавання сигнатури, але має перевагу: може виявляти атаки, для яких немає сигнатур.

Виявлення може здійснюватися як у реальному масштабі часу, так і шляхом читання журналів реєстрації вже минулих подій.

5. Антивірусне програмне забезпечення

До основних антивірусних засобів відносяться:

– детектори – виявляють заражену  програму; при  цьому відшукується частина коду, характерна для того чи іншого вірусу;

Приклади: ViruScan, NetScan, Aidstest, DrWeb.

– фаги (лікарі) – "викушують" вірус із зараженої програми;

Приклади: Clean-Up, M-Disk, Aidstest, DrWeb.

– сторожа (фільтри) – це резидентні  програми, які контролюють підозрілі дії програм, що запускаються, і блокують їх, або видають користувачу попередження;

  •  ревізори – підраховують контрольні суми програм і порівнюють їх з еталонними; еталони зберігаються в окремому захищеному файлі;

Приклад: AdInf.

– вакцини – подавляють можливість вірусу до самодублювання.

6. Системи резервування

Резервування програм і даних може здійснюватись багатьма способами: за рахунок дзеркальних дисків, резервного копіювання і відновлення, реплікації баз даних і т.д.

Виділяють наступні класи резервування:

  1.  Симетричне/асиметричне. Симетричне – коли всі сервери, що надають даний сервіс, можуть змінювати інформацію, що належить їм,і передавати зміни іншим серверам.
  2.  Синхронні/асинхронні. Синхронне – зміни передаються всім екземплярам сервісу в рамках однієї розподіленої транзакції.
  3.  Те що здійснюється засобами сервісу, що зберігає інформацію/зовнішніми засобами.

7. Обманні системи

Обманні системи (deception systems), що працюють із псевдо-сервісами, ціль яких полягає у відтворенні добре відомих слабких місць для того, щоб обдурити зловмисників. Як приклад можна назвати систему The Deception Tool Kit (http://www.all.net/dtk/).


 

А также другие работы, которые могут Вас заинтересовать

61270. Музичні образи в літературних творах. Оповідання 1.64 MB
  Мета уроку: Навчальна: зосередити увагу учнів на великій життєствердній силі музичного мистецтва в сюжеті оповідання Старий кухар К. Паустовського Старий кухар.
61273. Картофельные зразы с грибами 139.28 KB
  А если попробовать приготовить из них например Зразы Зразы Безопасность труда Себестоимость Проблема потребность Технология приготовления Эстетичность Инвентарь и посуда...
61276. Участие граждан в политической жизни 22.12 KB
  Гражданам принадлежит право решать кто именно будет представлять их интересы в процессе законотворческой деятельности. Основные принципы избирательного права в РФ: всеобщее избирательное право это означает...