16. Технология adsl

Цифровые абонентские линии (ЦАЛ) (DSL):

• асимметрическая. ЦАЛ (Asymmetric Digital Subscriber Line, ADSL),

• симметр. ЦАЛ (SDSL),

• ЦАЛ с переменной скоростью (Rate Adaptive DSL, RADSL)

• сверхбыстрой ЦАЛ (Very high-speed DSL, VDSL).

High-speed DSL (HDSL) работает по 4-проводной линии со скор. до 1,544 или 2,048 Мбит / с.

Для доступа к Интернету по стандартному 2-проводного телефонном окончанию с помощью спец. модема. Модемы xDSL Имеют полосу ≈ 1 МГц (зависит от длины кабеля до АТС и сечения проводов).

ADSL-модемы на концах линии между абонентом и АТС образуют 3 канала: быстрый канал передачи данных из сети в компьютер (от 1,5 до 6 Мбит / с), менее быстрый дуплексный канал передачи данных из компьютера в сеть (16 кбит / с до 1 Мбит / с) и про ¬ стой канал телефонной связи.

Асимметричная скорость, т.к. сеть - ПК: данные, ПК - сеть: квитанции.

На дальнем конце абонентскому окончания должен мультиплексор доступа ADSL (DSLAM), кот. выделяет подканалы: голосовой подканал → на АТС, каналы данных → в маршрутиз. рядом с ADSLAM.

«+» ADSL по сравнении с аналог. модемами и прот. ISDN и HDSL: поддержка голоса не от ¬ ражается на параллельное передаче данных по двум Быстрыми каналам из-за разделения частот.

Маршрутизатор на АТС соединен высокоскоростным каналом с другим маршрутизатором Интернета.

Стандарт на ADSL-модемы. Поддерживает кодирование инф-ции DMT, CAP и 2BlQ.

Скорости каналов ADSL зависят от качества физической линии, сечения ее проводников и расстояния между модемом и DSLAM.

 

17. Организация доступа компаний к Инет: а) до 10 пользователей б) 10-30 пользователей, собственный поштовый сервер, в) 50-200 пользователей, собственный интернет-сервер (www, ftp, dns) и отдаленных vpn-клиентов г) большая с надежным постоянным доступом.

a)

 

b)

 

c) Целесообразно использовать http-proxy-(web, ftp), что позволяет экономи интернет загрузку, путем отслеживания запросов пользователей и кеширования страниц.

DMZ - участок сети между шлюзом Интернета и шлюзом к локальной сети.

Изолированная зона - участок, подключенный через межсетевой экран.

Обе зоны работают в реальной адресации IP, тоесть адресуются с Интернета.

IDS - система обнаружения атак.

 

d)

 

 

18.Класификация атак Технологии и системы обнаружения атак

Классификация атак

1. По характеру воздействия

• пассивное

• активное

Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности.

Пассивное удаленное воздействие практически невозможно обнаружить.

Пример: прослушивание канала связи в сети.

Активное воздействие на распределенную вычислительную систему - воздействие, оказывающему непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности.

2. По цели воздействия

• нарушение конфиденциальности информации

• нарушение целостности информации

• нарушение работоспособности (доступности) системы

При перехвате информации нарушается Ее конфиденциальность.

Пример: прослушивание канала в сети.

При искажение информации нарушается Ее целостность.

Пример: внедрение ложного объекта в РВС.

При нарушении работоспособности не происходит несанкционированного доступа, т.е. сохраняется целостность и конфиденциальность информации, однако доступ к ней легальных пользователей также невозможен.

Пример: отказ в обслуживании (DoS).

3. По условию начала осуществления воздействия

• Атака по запросу от атакуемого объекта

• Атака по наступлению ожидаемого события на атакуемом объекте

• Безусловная атака

В случае запроса Атакующий ожидает передачи от Потенциальное цели атаки запроса определенного типа, Который и будет условием начала осуществления воздействия.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: DNS-и ARP-запросы в стеке TCP / IP.

В случае наступления события, Атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в Этой системе начинает воздействие.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: прерывание сеанса работы пользователя с сервером в сетевых ОС без выдачи команды LOGOUT.

В случае безусловной атаки начало Ее осуществления безусловно по отношении к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае Атакующий является инициатором начала осуществления атаки.

4. По наличию обратной связи с атакуемым объектом

• с обратной связью

• без обратной связи (однонаправленная атака)

Атака с обратной связью - атака, во время которой Атакующий получает ответ от атакуемого объекта на часть Своих действий. Эти ответы нужны, Чтобы иметь возможность продолжить атаку и / или осуществлять Ее более эффективно, реагируйте на изменения, происходящие на атакуемой системе.

Атака без обратной связи - атака, происходящая без реакции на поведение атакуемой системы.

Пример: отказ в обслуживании (DoS).

5. По расположения атакующего Относительно атакуемого объекта

• внутрисегментное

• межсегментной

Внутрисегментная атака - атака, при которой субъект и объект атаки находятся внутри одного сегмента сети, где сегмент - есть физическое объединение станций с помощью коммуникационных устройств НЕ выше канального уровня.

Межсегментная атака - атака, при которой субъект и объект атаки находятся в разных сегментах сети.

6. По количеству Атакующий

• распределенная

• нераспределенная

Распределенная атака - атака, производимая двумя или более Атакующий на одну и ту же вычислительную систему, объединённымы единым замыслом и во времени.

Нераспределенная атака проводится одним Атакующий.

7. По уровню эталонной модели ISO / OSI, на котором осуществляется воздействие

• физический

• канальный

• сетевой

• транспортный

• сеансовый

• представительный

• прикладной

Классификация способов обнаружения атак.

По технологии обнаружения

• обнаружение аномалий (anomaly detection)

 Этот подход сосредотачивается на формирование статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Подход страдает тем, что порождает слишком большое число ложных тревог.

• обнаружение злоупотреблений (misuse detection)

При использовании этого подхода система ищет известные сигнатуры и поднимает тревогу, когда найдет их. Более надежно и выполнимо. Именно на этом подходе основаны практически все Предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода.

По уровню обнаружения

Обнаружение атак на сетевом уровне

Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, системы обнаружения атак (Intrusion Detection Systems, IDS) сетевого уровня используют сетевой адаптер, функционирующем в режиме "прослушивания" (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети.

• Соответствие трафика шаблону (сигнатуре), выражению или байткод, характеризующих об атаке или подозрительном действии;

• Контроль частоты событий или Превышение пороговой величины;

• Корреляция нескольких событий с низким приоритетом;

• Обнаружение статистических аномалий.

Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмерам в ответ на атаку.

Достоинства систем обнаружения атак на сетевом уровне

1. Низкая стоимость эксплуатации.

2. Обнаружение атак, Которые пропускаются на системном уровне

2. Для хакера более трудно удалить следы своего присутствия.

1. Обнаружение и реагирования в реальном масштабе времени.

2. Обнаружение неудавшихся атак или подозрительных намерений.

3. Независимость от ОС.

Обнаружение атак на системном уровне

Современные системы обнаружения атак системного уровня остаются мощными инструментом для понимания уже осуществленных атак и определения соответствующих методов для устранения возможностей их будущего применения. Современные IDS системного уровня по-прежнему используют журналы регистрации, но они стали более автоматизированнымы и включают сложнейшие методы обнаружения, основанный на новейших исследованиях в области математики.

Как правило, IDS системного уровня контролируют систему, события и журналы регистрации событий безопасности (security log или syslog) в сетях, работающих под управлением Windows NT или Unix. Когда какой-либо из ЭТИХ файлов изменяется, IDS сравнивает новые записи с сигнатурами атак, Чтобы проверить, есть ли соответствие. Если такое соответствие найдено, то система Посылает администратору сигнал тревоги или приводить в действие другие заданные механизмы реагирования. IDS системного уровня постоянно развиваются, постепенно включая все новые и новые методы обнаружения. Один их таких популярных методов заключается в проверке контрольных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений. Своевременность реагирования непосредственно связана с частотой опроса. Некоторые продукты прослушивают активные порты и уведомляют администратора, когда кто-то пытается получить к ним доступ.

 Достоинства систем обнаружения атак системного уровня

И хотя системы обнаружения атак системного уровня не столь быстрый, как их аналоги сетевого уровня, они предлагают преимущества, которых не имеют последние. К этим достоинством можно отнести более строгий анализ, пристальное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения.

1. Подтверждают успех или отказ атаки.

2. Контролирует деятельность конкретного узла.

3. Обнаружение атак, Которые упускают системы сетевого уровня.

4. Хорошо подходит для сетей с шифрования и коммутацией.

5. Обнаружение и реагирования почти в реальном масштабе времени.

6. Не требуют дополнительных аппаратных средств.

7. Низкая цена.