- •ЛЕКЦИЯ 9. СРЕДСТВА ЗАЩИТЫ
- •Содержание лекции
- •Разграничение доступа к
- •Структура каталога
- •Вектор доступа
- •Виды доступа к объекту
- •Надежность разграничения
- •Дополнительные биты в
- •Дополнительные биты в
- •SUID
- •Защита от угрозы
- •Дополнительные биты в
- •Права доступа к вновь
- •Назначение аудита
- •Основные требования политики
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Другие параметры аудита
- •Аудит доступа к объектам
- •Расширенная политика
- •аудита (Windows 7 и
- •Администраторы и
- •Администраторы и
- •Аудит событий безопасности в
- •Аудит событий безопасности в
- •Сообщение аудита в ОС
- •Параметры аудита в ОС Unix
- •Расширение аудита в ОС
- •Защита информации в
- •Межсетевые экраны
- •Межсетевые экраны
- •Фильтрующие
- •Шлюзы сеансового уровня
- •Шлюз сеансового уровня
- •Шлюзы сеансового уровня
- •Шлюзы прикладного
- •уровня
- •Общие недостатки МЭ
- •Сканеры уязвимости
- •Сканеры уязвимости
- •Классификация сканеров
- •Сканеры уязвимости
- •Системы обнаружения
- •Системы обнаружения
- •Системы обнаружения
- •Системы контроля
- •Системы контроля
Защита информации в
глобальных сетях
•Межсетевые экраны (брандмауэры, firewalls).
•Сканеры уязвимостей (vulnerability assessment).
•Системы обнаружения атак (Intrusion Detect Systems, IDS).
•Системы контроля содержания (анализа трафика, MIME-sweeper for Web).
Межсетевые экраны
Реализуют набор правил, которые определяют условия прохождения пакетов данных из одной части распределенной компьютерной системы (открытой) в другую (защищенную). Обычно межсетевые экраны (МЭ) устанавливаются между сетью Интернет и локальной вычислительной сетью организации, но могут устанавливаться и на каждый хост локальной сети (персональные МЭ).
Межсетевые экраны
В зависимости от уровня взаимодействия объектов сети основными разновидностями МЭ являются:
•фильтрующие (экранирующие) маршрутизаторы,
•шлюзы сеансового уровня (экранирующие транспорты),
•шлюзы прикладного уровня,
•МЭ экспертного уровня, работающие на разных уровнях модели OSI.
Фильтрующие
маршрутизаторы
При фильтрации используется информация из заголовков IP- пакетов:
•IP-адрес отправителя пакета;
•IP-адрес получателя пакета;
•порт отравителя пакета;
•порт получателя пакета;
•тип протокола;
•флаг фрагментации пакета.
|
Фильтрующие |
|||
|
маршрутизаторы |
|||
Достоинства: |
Недостатки : |
|||
• |
простота их |
• |
отсутствие аутентификации |
|
|
создания, |
|
на уровне пользователей |
|
|
|
КС; |
||
|
установки и |
• |
уязвимость для подмены IP- |
|
|
конфигурирован |
|||
|
|
адреса в заголовке пакета; |
||
|
ия, |
• |
незащищенность от угроз |
|
• |
прозрачность |
|||
|
нарушения |
|||
|
для приложений |
|
конфиденциальности и |
|
|
пользователей |
• |
целостности; |
|
|
КС и |
зависимость эффективности |
||
|
минимальное |
|
набора правил фильтрации |
|
|
влияние на их |
|
от уровня знаний |
|
|
|
конкретных протоколов; |
||
|
производительн |
• |
открытость IP-адресов |
|
|
ость, |
|||
• |
|
компьютеров защищенной |
||
невысокая |
|
части сети. |
||
|
стоимость. |
|
|
Шлюзы сеансового уровня
Основные функции:
•контроль виртуального соединения между рабочей станцией защищенной части сети и хостом ее незащищенной части;
•трансляция IP-адресов компьютеров защищенной части сети (технология Network Address Translation, NAT).
Шлюз сеансового уровня
•Устанавливает соединение с внешним хостом от имени авторизованного клиента из защищенной части сети, создает виртуальный канал по протоколу TCP, после чего копирует пакеты данных в обоих направлениях без их фильтрации. Когда сеанс связи завершается, МСЭ разрывает установленное соединение с внешним хостом.
•В процессе выполняемой шлюзом сеансового уровня процедуры трансляции IP-адресов компьютеров защищенной части сети происходит их преобразование в один IP-адрес, ассоциированный с МСЭ. Это исключает прямое взаимодействие между хостами защищенной и открытой сетей и затрудняет нарушителю атаку с подменой IP-адресов .
Шлюзы сеансового уровня
К |
К недостаткам – отсутствие |
достоинств |
возможности проверять |
ам |
содержимое передаваемой |
относятся |
информации, что позволяет |
их простота |
нарушителю пытаться |
и |
передать пакеты с |
надежность |
вредоносным программным |
программно |
кодом через подобный МСЭ и |
й |
обратиться затем напрямую |
реализации |
к одному из серверов |
. |
(например, Web-серверу) |
|
атакуемой КС. |
Шлюзы прикладного
уровня
Не только исключают прямое взаимодействие между авторизованным клиентом из защищенной части сети и хостом из ее открытой части, но и фильтрует все входящие и исходящие пакеты данных на прикладном уровне (т.е. на основе анализа содержания передаваемых данных).
уровня
К основным функциям относятся:
•идентификация и аутентификация пользователя КС при попытке установить соединение;
•проверка целостности передаваемых данных;
•разграничение доступа к ресурсам защищенной и открытой частей распределенной КС;
•фильтрация и преобразование передаваемых сообщений (обнаружение вредоносного программного кода, шифрование и расшифрование и т.п.);
•регистрация событий в специальном журнале;
•кэширование запрашиваемых извне данных, размещенных на компьютерах внутренней сети (для повышения производительности КС).
|
Шлюзы прикладного |
||||
Достоинства: |
уровня |
|
|||
|
Недостатки: |
||||
• |
наиболее высокая |
• |
более высокая |
||
|
степень защиты КС от |
|
стоимость, |
||
|
удаленных атак, |
• |
сложность |
||
• |
скрытость структуры |
||||
|
разработки, |
||||
|
защищенной части сети |
|
установки и |
||
• |
для остальных хостов, |
|
конфигурировани |
||
надежная |
|
|
я, |
||
|
аутентификация и |
• |
снижение |
||
|
регистрация |
|
|||
|
|
|
производительнос |
||
|
проходящих сообщений, |
|
|||
|
|
ти КС, |
|||
• |
возможность |
|
|
||
|
• |
«непрозрачность» |
|||
|
реализации |
|
|||
|
дополнительных |
|
для приложений |
||
|
проверок. |
|
|
пользователей КС. |