- •Атаки на распределенные информационно-телекоммуникационные системы и защита от них.
- •49. Особенности безопасности компьютерных сетей. Понятие удаленной атаки
- •50. Классификация компьютерных злоумышленников
- •51. Классификация удаленных атак на распределенные вычислительные системы
- •52. Типовая удаленная атака: анализ сетевого трафика сети Интернет
- •53. Типовая удаленная атака: подмена доверенного лица
- •54. Типовая удаленная атака: ложный объект распределенной вычислительной системы
- •§ 3.1. Селекция потока информации и сохранение ее на ложном объекте рвс
- •§ 3.2 Модификация информации
- •§ 3.3 Подмена информации
- •55. Типовая удаленная атака: отказ в обслуживании
- •56. Причины успеха удаленных атак на распределенные вычислительные системы и сеть Internet
- •57. Принципы создания защищенных систем связи в распределенных вычислительных системах
- •58. Программно-аппаратные методы защиты от удаленных атак в сети Интернет
- •59. Ключевые механизмы безопасности: межсетевое экранирование
- •60. Компоненты межсетевых экранов
- •61. Удаленные атаки на телекоммуникационные службы и защита от атак на телекоммуникационные службы
58. Программно-аппаратные методы защиты от удаленных атак в сети Интернет
· Административные методы защиты от удаленных атак
o Защита от анализа сетевого трафика
o Защита от ложного объекта
o Защита от отказа в обслуживании
· Программно-аппаратные методы защиты от удаленных атак в сети Internet
o аппаратные шифраторы сетевого трафика;
o методика Firewall, реализуемая на базе программно-аппаратных средств;
§ Многоуровневая фильтрация сетевого трафика
§ Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте
§ Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)
o защищенные сетевые криптопротоколы;
o программно-аппаратные анализаторы сетевого трафика;
o защищенные сетевые ОС.
59. Ключевые механизмы безопасности: межсетевое экранирование
Межсетевой экран (МЭ) - комплекс программно-технических и организационных мер и средств, предназначенных для выявления и предотвращения сетевых атак на защищаемые информационные системы
Существующие информационные системы характеризуются: наличием в своем составе как технических средств, обрабатывающих защищаемую информацию, так и средств, обрабатывающих только общедоступную информацию; подключение внешних каналов связи к открытым сетям передачи данных. Для построения оптимальной системы защиты информации часто требуется ограничить трафик между защищаемыми узлами информационной системы и открытыми. Реализация этого требования возможна посредством внедрения межсетевых экранов, обеспечивающих:
· Ограничение способов взаимодействия между сегментами защищаемой информационной системы с внешними сетями.
· Идентификацию и аутентификацию пользователей при их доступе в другие сегменты.
· Сокрытие структуры информационной системы при доступе пользователей к внешним сетям передачи данных.
· Регистрацию событий об информационных потоках, проходящих между сегментами и пользователями.
60. Компоненты межсетевых экранов
· Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:
o фильтрующие маршрутизаторы;
§ Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP - и IP - заголовках пакетов.
§ К положительным качествам фильтрующих маршрутизаторов следует отнести:
· сравнительно невысокую стоимость;
· гибкость в определении правил фильтрации;
· небольшую задержку при прохождении пакетов.
§ Недостатками фильтрующих маршрутизаторов являются:
· нутренняя сеть видна (маршрутизируется) из сети Internet ;
· правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP ;
· при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
· аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
· отсутствует аутентификация на пользовательском уровне.
o шлюзы сетевого уровня;
§ Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.
o шлюзы прикладного уровня.
§ Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы - посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.
§ Это осуществляется следующим образом:
· сначала внешний пользователь устанавливает TELNET-соединение со шлюзом прикладного уровня с помощью протокола TELNET и вводит имя интересующего его внутреннего хост-компьютера;
· шлюз проверяет IP - адрес отправителя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа
· пользователю может потребоваться аутентификация (возможно, с помощью одноразовых паролей);
· сервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-компьютером;
· сервер посредник осуществляет передачу информации между этими двумя соединениями;
· шлюз прикладного уровня регистрирует соединение.