- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
21. Средства сетевой защиты. Межсетевые экраны.
Многие организации принимают решение о включении своей локальной сети в Internet. Однако при этом возникает ряд проблем: как защитить локальную сеть от несанкционированного доступа, как скрыть информацию о структуре своей сети от внешнего пользователя, как разграничить права доступа внутренних пользователей, запрашивающих сервисы сети. Для решения задач защиты данных организации используют межсетевые экраны (FireWall, брандмауэры).
МЭ – это компьютер со специальным программным обеспечением, который препятствует несанкционированному доступу к информационным ресурсам предприятия, кроме того, МЭ защищает от поступления из внешней среды нежелательной информации без ведома пользователей.
Обычно МЭ функционирует на какой-либо UNIX-платформе, реже DOS, Windows NT. Как правило, в операционную систему, под управлением которой работает МЭ, вносят изменения, цель которых повысить защиту самого МЭ. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На МЭ не разрешается иметь разделов пользователей, может быть только раздел администратора.
Решение о том, что фильтровать с помощью МЭ, зависит от принятой в организации политики сетевой безопасности (ПСБ). ПСБ включает две составляющие:
- политика доступа к сетевым сервисам;
- политика реализации межсетевых экранов.
Политика доступа к сетевым сервисам обычно основана на одном из следующих принципов:
1.запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;
2.разрешить ограниченный доступ во внутреннюю сеть, обеспечивая работу только отдельных, «авторизованных» систем, например, почтовых серверов.
В соответствии с политикой реализации МЭ определяются правила доступа к ресурсам внутренней сети, которые основаны на одном из следующих принципов:
1.запрещать все, что не разрешено в явной форме;
2.разрешать все, что не запрещено в явной форме;
Реализация МЭ на основе первого принципа обеспечивает значительную защищенность, однако такие жесткие условия доставляют неудобства пользователям и реализация таких правил обходится довольно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной, однако пользоваться ею более удобно и потребуется меньше затрат.
Основные типы межсетевых экранов
1. Фильтрующие маршрутизаторы представляет собой маршрутизатор или работающую на сервере программу, построенную таким образом, чтобы фильтровать входящие и выходящие пакеты. Фильтрация пакетов выполняется на основе информации в TCР и IP- заголовках пакетов. ФМ может фильтровать IP-пакеты на основе:
-IP- адрес отправителя; порт отправителя;
-IP- адрес получателя; порт получателя.
Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт обозначается 16-тибитовым числом.
МЭ с фильтрацией пакетов, работающий только на канальном уровне эталонной модели взаимодействия открытых систем, обычно проверяет только информацию в IP-заголовках пакетов. Поэтому обмануть его не сложно: нарушитель создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в Internet и часто оказывается эффективным.
+:-сравнительно невысокая стоимость;
-гибкость в определении правил фильтрации;
-небольшую задержку при прохождении пакетов.
–:-внутренняя сеть видна (маршрутизируется) из Internet;
-правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
-при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными или недоступными;
-аутентификацию с использованием IP-адреса можно обмануть путем подмены IР-адреса;
отсутствует аутентификация на пользовательском уровне.
2. Шлюзы сеансового уровня
Шлюз сеансового уровня по-другому называют системой трансляции сетевых адресов или шлюзом сетевого уровня модели OSI. Шлюз сеансового уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует ТСР-пакеты в обоих направлениях, не осуществляя их фильтрации. По окончании сеанса шлюз разрывает цепь, использованную в данном сеансе. Для копирования и перенаправления пакетов в шлюзах сеансового уровня применяются специальные приложения, которые называются канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP проходить по этому каналу.
Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера посредника. Сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в единственный IP-адрес, т.е. IP-адрес сеансового шлюза становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким способом шлюз сеансового уровня и другие серверы-посредники защищают внутренние сети от нападения типа подмены адресов.
"–":не обеспечивается контроль и защита содержимого пакетов сообщений;
-не поддерживается аутентификация пользователей и конечных узлов.
3. Шлюзы прикладного уровня
Для проверки содержимого пакетов, формируемых определенными сетевыми службами типа Telnet, FЕP, МЭ используют дополнительные программные средства. Такие программные средства называются полномочными серверами-посредниками, а компьютер, на котором они выполняются – шлюзами прикладного уровня. ШПУ исключает прямое взаимодействие между авторизованным клиентом и внешним хост-компьютером. ШПУ фильтруют все входящие и исходящие пакеты на прикладном уровне. Например, они могут фильтровать FTP-соединения и запрещать прохождение команды PUT, что не позволит пользователям записывать информацию на анонимный FTP-сервер.
В дополнение к фильтрации пакетов многие ШПУ регистрируют все выполняемые сервером действия и предупреждают сетевого администратора о возможных нарушениях защиты.
"+":-невидимость структуры внутренней сети, т.к. ШПУ может быть единственной машиной, имя которой известно внешним системам;
-надежная аутентификация и регистрация, т.к. прикладной трафик может быть аутентифицировать, прежде чем он достигнет внутренних компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной регистрации через пароли;
-оптимальное соотношение между ценой и эффективностью;
-простые правила фильтрации;
-возможность организации большого числа проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении.
"-": более низкая производительность и более высокая стоимость по сравнению с ФМ.
Для достижения более высокого уровня безопасности и гибкости ШПУ и ФМ могут быть объединены в одном комплексном межсетевом экране.