- •Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- •Вопрос 1.
- •Основные понятия безопасности компьютерных систем.
- •Современные программные угрозы информационной безопасности.
- •Компьютерные вирусы.
- •Троянские кони (программные закладки).
- •Средства нарушения безопасности компьютерных сетей
- •Вопрос 2.
- •Угроза раскрытия
- •Угроза целостности
- •Угроза отказа служб
- •Субъекты, объекты и доступ
- •Уровни безопасности, доверие и секретность
- •Вопрос 3.
- •Объектно-концептуальная модель рпс.
- •Пространство отношений доступа к объектам вс.
- •Использование понятия легитимности при построении модели безопасности вс.
- •Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- •Вопрос 5. Политики и модели безопасности
- •Модели дискретного доступа
- •Модели мандатного доступа
- •Модель Белла и Лападула
- •Удаленное чтение
- •Доверенные субъекты
- •Проблема системы z
- •Модель системы безопасности с полным перекрытием
- •Модели контроля целостности
- •Модель понижения уровня субъекта
- •Модель понижения уровня объекта
- •Объединение моделей безопасности
- •Проблемы контроля целостности ядра системы
- •Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- •Контрольно-испытательные методы анализа безопасности по.
- •Логико-аналитические методы анализа безопасности по.
- •Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- •Неправильное внедрение модели безопасности
- •1. Отсутствие подтверждения старого пароля при его смене.
- •2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- •3. Слабое значение идентификатора супервизора.
- •4. Право на создание файлов в каталоге sys:mail.
- •5. Ненадежность атрибута «только для выполнения».
- •6. Получение прав пользователя сервером очереди.
- •1. Возможность обращения хэш-функции
- •2. Атака с использованием сервера печати.
- •3. Использование состояния отсутствия информации.
- •1. Приведение базы данных связок в неработоспособное состояние.
- •2. Недостатки механизма подписи пакетов.
- •1. Передача нешифрованных паролей программой syscon.
- •Ошибки в администрировании системы
- •1. Наличие права на запись в системный каталог
- •2. Наличие права на чтение sys:system
- •Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- •1. Анализ сетевого трафика.
- •6. Сетевой червь (worm).
- •Вопрос 11. Удаленные атаки на ос novell netware 3.12
- •2. Ложный сервер сети Novell NetWare 3.12.
- •Вопрос 13. Удаленные атаки на хосты internet
- •1. Исследование сетевого трафика сети Internet.
- •2. Ложный arp-сервер в сети Internet.
- •3. Ложный dns-сервер.
- •4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- •5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- •6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- •Вопросы 14 – 16. Использование систем firewall
- •Достоинства применения Firewall.
- •Недостатки, связанные с применением Firewall.
- •Структура и функционирование Firewall.
- •Принципы работы Firewall.
- •Режим доступа к службам.
- •Усиленная аутентификация.
- •Фильтрация пакетов.
- •Шлюзы прикладного и сетевого уровня.
- •Вопросы 17-21. Основные схемы защиты на основе Firewall.
- •Firewall — маршрутизатор с фильтрацией пакетов.
- •Firewallна основе шлюза.
- •Экранированный шлюз.
- •Firewall –экранированная подсеть.
- •Объединение модемного пула с Firewall
- •Вопрос 22. Особенности защиты сетей на основе Firewall
- •Этапы разработки политики доступа к службам.
- •Гибкость политики.
- •Обеспечение Firewall.
- •Администрирование Firewall.
Обеспечение Firewall.
После определения политики безопасности необходимо рассмотреть ряд вопросов, связанных с обеспечением Firewall. Многие из этих вопросов аналогичны тем, которые возникают в других системах программного обеспечения, поэтому некоторые этапы разработки Firewall,такие, например, как определение требований, их анализ и спецификация, являются стандартными.
Как только принято решение об использовании Firewall-технологии для реализации политики безопасности организации, следующим шагом является выбор такогоFirewall,который обеспечил бы подходящий уровень защиты с наименьшими затратами. Так как эта задача чрезвычайно сложна и еще недостаточно исследована, то можно воспользоваться общими рекомендациями. В общем случае необходимо, чтобы Firewallобладал следующими свойствами или атрибутами:
Firewallдолжен иметь возможность поддерживать политику доступа, запрещающую все, что не разрешено, даже если используется другая политика.
Firewallдолжен поддерживать политику безопасности, используемую в организации.
Firewallдолжен быть гибким, он должен иметь возможность приспосабливаться к появлению новых служб и требований и изменению политики безопасности сети.
Firewallдолжен содержать средства усиленной аутентификации или иметь возможность быстрой инсталляции этих средств.
Firewallдолжен использовать методики фильтрации для разрешения или отказа в обслуживании определенным хост-системам в зависимости от заданных требований.
Язык, на котором задаются правила фильтрации IP должен быть гибким, дружественным и должен оперировать с как можно большим числом критериев ( в том числе, с адресом источника и приемника, типом протокола, портом TCP/UDPисточника и приемника и с входным и выходным интерфейсом).
Firewallдолжен обязательно использовать полномочные службы для таких служб как FTPи TELNET,чтобы можно было использовать сосредоточенные в Firewallсредства усиленной аутентификации. Если требуются такие службы как NNTP, X, httpили gopher,то Firewallдолжен содержать соответствующие им полномочные службы.
Firewallдолжен иметь возможность централизованногоSMTPдоступа, чтобы уменьшить число прямых SMTP-связей между сетью и удаленными системами. В результате, управление электронной почтой сети будет осуществляться централизованно.
Firewallдолжен так организовать открытый доступ к сети, чтобы открытые информационные серверы были защищены Firewall,но, в то же время, чтобы их можно было отличить от остальных систем сети.
Firewallдолжен иметь возможность концентрировать и фильтровать доступ через модемы.
Firewallдолжен содержать механизмы для регистрации трафика и подозрительной деятельности, а также для обработки регистрационных записей.
Если для Firewallнужна операционная система типаUNIX,то в его состав необходимо включить защищенную версию операционной системы, а также другие средства для обеспечения целостности самого Firewall.В такой операционной системе не должно быть "лазеек".
Firewallдолжен быть разработан таким образом, чтобы можно было проверить его надежность и корректность. Структура его должна быть простой для понимания и обслуживания.
Firewallи все соответствующие системы необходимо своевременно корректировать при обнаружении "лазеек" и "дыр".
На самом деле существует гораздо больше проблем и требований, однако многие из них характерны только для конкретных сетей. Тщательное определение требований и точная оценка риска зависят от требований сети, однако, не следует забывать, что Internetпостоянно меняется. Могут возникать новые проблемы, а ввод новых и усовершенствование старых служб могут представлять определенные трудности для каждой конкретной установки Firewall.