- •Конспект лекций по дисциплине «Теоретические основы компьютерной безопасности»
- •Возможности сети Internet для построения корпоративных сетей
- •Контрольные вопросы
- •Информационные сферы рф (слайд)
- •Атаки на уровне приложений
- •Сетевая разведка
- •Злоупотребление доверием
- •Парольные атаки
- •Угадывание ключа
- •Контрольные вопросы
- •Модель комплексной системы защиты
- •Защиты носителей информации в ас
- •Контрольные вопросы
- •Монитор безопасности обращений
- •База правил
- •Контрольные вопросы
- •Архитектура управления ссб
- •Концепция глобального управления безопасностью (gsm)
- •Свойства ксузирп (слайд)
- •Политики безопасности
- •Структурные элементы системы управления средствами сетевой безопасности
- •Контрольные вопросы
- •Контрольные вопросы
- •Тема лекции № 7. Оценка эффективности проектируемой системы защиты информации в компьютерных системах.
- •Особенности скалярной оптимизации
- •Объективный метод перехода к скалярному показателю качества
- •Субъективный метод перехода к скалярному показателю качества
- •Контрольные вопросы
- •Литература основная:
- •Дополнительная:
Информационные сферы рф (слайд)
- внутренняя политика;
- внешняя политика;
- правопорядок и суды;
- наука и техника;
- чрезвычайная ситуация;
- ЕСЭ;
- оборона;
- ИТКС;
- экономика.
Причинами возникновения угроз безопасности информации являются (слайд):
утечка информации;
несанкционированное воздействие;
непреднамеренное воздействие.
Вопрос №2 (слайды).
Факторы, воздействующие на защищаемую информацию – явления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации и блокирование доступа к ней (ГОСТ Р 51275-99) (слайд).
Угрозы ИБ и их классификация представлены на слайде.
Вопрос №3.
Основные направления и методы реализации угроз показаны на слайдах.
Вопрос №4.
I. Информация, обрабатываемая в корпоративных компьютерных системах (сетях), является особенно уязвимой, чему способствуют:
- увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
- сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
- расширение доступа круга пользователей к информации, хранящейся в БД, и к ресурсам вычислительной сети;
- увеличение числа удаленных рабочих мест;
- широкое использование глобальной сети Интернет и различных каналов связи;
- автоматизация обмена информацией между компьютерами пользователей.
Проблемы обеспечения информационной безопасности в проводных КС (слайд) связаны с:
- угрозами безопасности локальных рабочих станций;
- угрозами ЛВС;
- с угрозами корпоративных сетей.
На практике компьютерные системы (сети) уязвимы для многих способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов угроз (сетевых атак) на компьютерные системы (сети) постоянно расширяется.
Наиболее распространёнными являются следующие виды угроз (атак) (слайд):
подслушивание (sniffing)
В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что создает возможность подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов – представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.
В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Поскольку некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (имена пользователей и пароли).
Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей таит большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.
Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установки аппаратных и программных средств, распознающих снифферы, применения криптографической защиты каналов связи.
изменение данных
При прочтении данных со стороны злоумышленника существует возможность их изменения. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.
анализ сетевого трафика.
Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (паролей пользователей, номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.
подмена доверенного субъекта
Подмена IP-адреса отправителя другим называют фальсификацией адреса (IP-spoofing). Имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Могут быть использованы специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.
Атаки IP-спуфинга порождают атаки типа «отказ в обслуживании» (DoS), которые начинаются с чужого адреса, скрывающего истинную личность хакера.
Угрозу спуфинга можно ослабить (но не устранить) с помощью правильной настройки управления доступом из внешней сети, пресечения попыток спуфинга чужих сетей пользователями своей сети.
Атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии).
посредничество
Атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. При взаимодействии компьютеров на низких сетевых уровнях, не всегда можно определить, адресата, с которым производится обмен данными.
посредничество в обмене незашифрованными ключами
(атака man-in-the-middle)
Для проведения этой атаки необходим доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.
Атаки данного вида проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Самый эффективный способ борьбы с такими атаками – использование криптографии. Для противодействия атакам данного типа используется инфраструктура управления открытыми ключами (PKI)(Public Key Infrastructure).
перехват сеанса
По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например, с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда на разрыв соединения. В результате «собеседник» законного пользователя оказывается незаметно подмененным.
После получения доступа к сети атакующий злоумышленник может:
- отправлять некорректные данные приложениям и сетевым службам, что приводит к аварийному завершению сеансов или неправильному функционированию системы;
- наполнить компьютер или всю сеть трафиком, пока не произойдет перегрузка и остановка системы;
- блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.
отказ в обслуживании (Denial of Service, DoS)
Основное отличие этого вида атаки от других заключается в том, что она не нацелена на обеспечение доступа в сеть или на получение из сети какой-либо информации. В результате DoS-атаки сеть предприятия становится недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. Данный вид атаки лишает обычных пользователей доступа к информационным ресурсам или компьютерам сети организации.
Большинство DoS-атак опирается на общие изъяны системной архитектуры. В случае использования некоторых серверных приложений (web-сервер или FTP-сервер) DoS-атаки могут занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе DoS-атак могут использоваться обычные Internet-протоколы – TCP и ICMP (Internet Control Message Protocol).
DoS-атаки трудно предотвратить, поскольку требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть из-за загруженности полосы пропускания, это сделать уже не удастся.
Когда DoS-атака проводится одновременно через множество устройств, то говорят о распределенной атаке отказа в обслуживании DDoS (distributed DoS).