- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
Сканирование сетей осуществляется злоумышленником на предварительном этапе атаки и позволяет злоумышленнику провести необходимый сбор информации (уязвимость системы).
Сетевое сканирование используется как злоумышленником, так и администратором сети, в целях, чтобы определить работу системы.
Для защиты от сетевого сканирования необходимо применять подходы, позволяющие скрыть внутреннюю структуру сети (использовать межсетевые экраны и системы обнаружения атак СОА). Таким образом, для защиты от рассмотренных выше атак используют МЭ, виртуальные частные сети VPN, стойкие протоколы аутентификации.
Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
Сканирование IP-адресов. Производится путем специальных программ, которые работают с ICMP протоколом. По этому протоколу отправляется эхо-запрос по указанному IP-адресу, если приходит ответ эхо-ответ, значит, данный узел присутствует в сети. Обмениваясь ICMP пакетами с каким-либо узлом сети можно получить куда более ценную информацию о сети, нежели констатация факта, что данный узел подключен к сети. МЭ позволяют отключать эхо-ответ по протоколу ICMP. Если обмен данными по ICMP протоколу заблокирован, используется метод сканирование портов.
Сканирование портов. Этот метод основан на попытке пробного подключения к портам TCP и UDP с целью определения запущенных служб и соответствующих им портов. Определение портов, находящихся в режиме ожидания позволяет определить тип используемой ОС, а также запущенные на компьютере приложения.
Существует несколько видов сканирования портов:
TCP-сканирование подключением
TCP-сканирование сообщениями SYN
TCP NULL-сканирование
TCP-сканирование с помощью сообщения ACK
UDP-сканирование
заключается в попытке подключения по TCP-протоколу к нужному порту с прохождением полной процедуры согласования соединения.
заключается в том, что полного подключения к порту не происходит, а к порту посылается сообщение SYN и если в ответ приходит ответ SYN/ACK, то данный порт находится в режиме прослушивания. Данный метод является более скрытым, чем предыдущий.
осуществляется отправка пакетов с отключенными флагами. Исследуемый узел в ответ должен отправить сообщение, которое будет говорить о том, какие порты закрыты.
осуществляется отправка сообщений ACK, которые позволяют устанавливать набор правил используемых брандмауэр.
заключается в отправке сообщений, пакетов по протоколу UDP. Если в ответ поступает сообщение, что порт недоступен, значит, он закрыт и наоборот. UDP-протокол достаточно ненадежен и процесс UDP-сканирования очень медленный, поэтому к этому сканированию прибегают редко.
Защита от сканирования портов достигается правильной настройки брандмауэра и МЭ. Необходимо закрыть все неиспользованные порты, а на используемые наложить правило «использовать с разрешения пользователя».
ЛЕКЦИЯ №4.