- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Атаки на интрасети.
Атака – это событие, при котором злоумышленник или нарушитель пытается проникнуть внутрь системы и совершить по отношению к ней соответствующие или неправильные действия (нарушение работы системы).
Угроза – потенциально возможное событие, действие или процесс которого может нанести ущерб.
Уязвимость – это любая характеристика или свойство системы, использование которого может привести к реализации угрозы.
Этапы реализации атак.
Предварительные действия – сбор информации, включает в себя такие действия, как: определение сетевой топологии типа и версии ОС, а также других доступных ресурсов. На этом этапе нападающий исследует область предполагаемой атаки, пытается определить адреса «доверенной» системы, которые напрямую соединены с целью атаки. Такие действия достаточно трудно определять, так как выполняются они в течение длительного периода времени.
Реализация атаки – начинается попытка доступа на атакуемый узел. При этом доступ может быть как непосредственный (проникновение на узел), так и опосредованный (реализация атаки типа «отказ в обслуживании»). Реализация атаки в случае непосредственного доступа может быть разделена на 2 этапа:
а) преодоление средств защиты – проникновение.
б) установление контроля – путем внедрения программы типа «троянский конь».
После установки контроля над нужным узлом злоумышленник может проводить любые действия, в том числе путем замены загрузочных файлов произвести дальнейший контроль над «захваченной системой» даже после ее перезагрузки.
Заметание следов. Реализуется следующим образом: удаление соответствующих записей из журналов регистрации атакованного узла, возвращая его в исходное состояние.
Выполнение действий заключается в том, чтобы скрыть сам факт атаки и т. д.
ЛЕКЦИЯ №2.
Основные методы распознавания атак и их признаки.
Признаки атак:
повтор определенных событий. Существует три метода обнаружения повторов:
а) контроль повторов, как пороговых значений
б) как временных интервалов
в) как шаблонов
В случае контроля пороговых значений контролируется некоторый порог, позволяющий отличить санкционированный повтор от несанкционированного. Неправильный выбор пороговых значений может привести к частым ложным срабатываниям или остаться необнаруженным (например, пороговое значение количества ввода пароля при входе в Windows).
Контроль временных интервалов является типичным примером обнаружения сканированных портов, т.е. имеется заданное число обращений к портам узла за определенный промежуток времени.
Контроль шаблонов подразумевает наличие шаблона атаки, по которому ее идентифицируют.
неправильный или несоответствующий текущей команде результат, т.е. несоответствие заранее ожидаемым реакциям результат позволяет сделать вывод о подмене одного из участников информационного обмена.
несоответствующие параметры сетевого трафика, т.е. например входящий извне в локальную сеть пакет имеет адрес соответствующий адресу внутреннего диапазона; присутствие нового протокола.
непредвиденные атрибуты, такие как пользовательские и системные профили, время входа и выхода в/из системы, местоположение и т.д.
необъяснимые проблемы с системными ресурсами, с программным и аппаратным обеспечениями, с производительностью системы, такие как нехватка дискового пространства, удаленные во времени ответы от шлюза в интернет.