Security_metod
.pdf
004 П 542
Міністерство освіти і науки України Запорізька державна інженерна академія
Н. П. Полякова
БЕЗПЕКА ПРОГРАМ ТА ДАНИХ
Навчально-методичний посібник
для студентів ЗДІА напряму 6.050103 “Програмна інженерія”
денної та заочної форм навчання
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
Запорізька державна інженерна академія
Затверджено до друку рішенням науково-методичної ради ЗДІА протокол № 5 від 04.06.2015р.
БЕЗПЕКА ПРОГРАМ ТА ДАНИХ
Навчально-методичний посібник
для студентів ЗДІА напряму 6.050103 “Програмна інженерія”
денної та заочної форм навчання
Рекомендовано до видання на засіданні кафедри ПЗАС, протокол № 15 від 07.04.2015р.
Запоріжжя
ЗДІА
2015
1
ББК 004
П 542
Н. П. Полякова, доцент
Відповідальний за випуск: зав. кафедри ПЗАС,
професор О. Д. Шамровський
Рецензенти:
Л. І. Цвіркун, к.т.н., професор, заст. зав. кафедри автоматизації та комп’ютерних систем ДВНЗ «Націрнальний гірничий університет»; М. Ю. Пазюк, д.т.н., професор, зав. кафедри АУТП Запорізької державної інженерної академії.
Полякова Н. П.
П 542 Безпека програм та даних: навчально-методичний посібник для студентів ЗДІА напряму 6.050103 “Програмна інженерія” денної та заочної форм навчання / Полякова Н. П.; Запоріз. держ. інж. акад. – Запоріжжя: ЗДІА, 2015. – 122 с.
Навчально-методичний посібник призначено для студентів напряму 6.050103 „Програмна інженерія”, що навчаються за планом підготовки освітньо-кваліфікаційного рівня бакалавр. Методичне видання містить теоретичний матеріал з курсу “Безпека програм та даних”, вказівки до виконання лабораторних робіт, матеріал для самостійної роботи, завдання до контрольної роботи, питання з підготовки до іспиту, глосарій.
2
|
ЗМІСТ |
|
Вступ ............................................................................................................................ |
|
7 |
Тема 1. Сучасні загрози безпеці інформаційної системи. Фундаментальні |
|
|
принципи безпеки...................................................................................................... |
8 |
|
1.1 |
Еволюція мережної безпеки .......................................................................... |
8 |
1.2 |
Рушійні сили мережної безпеки.................................................................. |
11 |
1.3 |
Організації, які займаються питаннями мережної безпеки ..................... |
14 |
1.4 |
Домени мережної безпеки ........................................................................... |
15 |
1.5. Політика мережної безпеки ........................................................................ |
16 |
|
1.6 |
Самостійна робота студента........................................................................ |
17 |
1.6.1 Запитання для самоперевірки................................................................... |
17 |
|
1.6.2 Матеріали для самостійного поглибленого вивчення теми.................. |
17 |
|
Тема 2. Віруси, хробаки, троянські коні: технології дії та протидії .............. |
18 |
|
2.1 |
Віруси, хробаки і троянські коні................................................................. |
18 |
2.1.1 Віруси.......................................................................................................... |
18 |
|
2.1.2 Хробаки ...................................................................................................... |
18 |
|
2.1.3 Троянські коні ............................................................................................ |
20 |
|
2.2 |
Пом’якшення дії вірусів, хробаків та троянських коней ......................... |
21 |
2.3 |
Самостійна робота студента........................................................................ |
24 |
2.3.1 Запитання для самоперевірки................................................................... |
24 |
|
2.3.2 Матеріали для самостійного поглибленого вивчення теми.................. |
24 |
|
Тема 3. Основні групи атак, їх характеристики та приклади........................ |
25 |
|
3.1 |
Типи атак ....................................................................................................... |
25 |
3.1.1 Різновиди атаки-розвідки ......................................................................... |
25 |
|
3.1.2 Атаки доступа ............................................................................................ |
27 |
|
3.1.3 Атаки відмови в обслуговуванні.............................................................. |
28 |
|
3.2 |
Пом’якшення наслідків мережних атак ..................................................... |
31 |
3.2.1 Попередження атаки-розвідки ................................................................. |
31 |
|
3.2.2 Попередження атак доступу..................................................................... |
32 |
|
3.2.2 Попередження DoS -атак .......................................................................... |
32 |
|
3.3 |
Базова концепція захисту мережі організації ............................................ |
33 |
3.3.1 Захищена мережа....................................................................................... |
33 |
|
3.3.2 NFP framework ........................................................................................... |
33 |
|
3.4 |
Самостійна робота студента........................................................................ |
34 |
3.4.1 Запитання для самоперевірки................................................................... |
34 |
|
3.4.2 Матеріали для самостійного поглибленого вивчення теми.................. |
34 |
|
Тема 4. Безпека мережних пристроїв .................................................................. |
35 |
|
4.1 |
Безпека мережного доступу ........................................................................ |
35 |
4.1.1 Безпека прикордонного маршрутизатора (Edge Router) ....................... |
35 |
|
4.1.2 Області безпеки маршрутизатора ............................................................ |
37 |
|
4.2 |
Безпека адміністративного доступу ........................................................... |
38 |
4.2.1 Організація адміністративного доступу.................................................. |
38 |
|
4.2.2 Налаштування безпечного адміністративного доступу ........................ |
40 |
|
4.2.3 Налаштування SSH.................................................................................... |
42 |
|
4.3 |
Контроль за доступом до пристроїв інфраструктури ............................... |
43 |
3
4.3.1 Призначення рівнів привілеїв (Privilege Levels) .................................... |
44 |
|
4.3.2 Налаштування доступу на основі ролей (Role-Based CLI Access) ....... |
45 |
|
4.4 |
Самостійна робота студента........................................................................ |
46 |
4.4.1 Запитання для самоперевірки................................................................... |
46 |
|
4.4.2 Матеріали для самостійного поглибленого вивчення теми.................. |
46 |
|
Тема 5. Аутентифікація, авторизація та облік (ААА)...................................... |
47 |
|
5.1 |
Задачі ААА.................................................................................................... |
47 |
5.1.1 Аутентифікація без ААА .......................................................................... |
47 |
|
5.1.2 Компоненти ААА ...................................................................................... |
48 |
|
5.2 |
Локальна аутентифікація ............................................................................. |
49 |
5.3 |
Серверне рішення ААА ............................................................................... |
50 |
5.4 |
Самостійна робота студента........................................................................ |
51 |
5.4.1 Запитання для самоперевірки................................................................... |
51 |
|
5.4.2 Матеріали для самостійного поглибленого вивчення теми.................. |
51 |
|
Тема 6. Впровадження систем Firewall ............................................................... |
52 |
|
6.1 |
Списки контролю доступу........................................................................... |
52 |
6.1.1 Нумеровані стандартні та розширені ІР ACL......................................... |
52 |
|
6.1.2 Іменовані стандартні та розширені ІР ACL ............................................ |
54 |
|
6.1.3 Записи ІР ACL............................................................................................ |
54 |
|
6.1.4 Топологія і потоки для ACL ..................................................................... |
56 |
|
6.2 |
Міжмережні екрани...................................................................................... |
57 |
6.2.1 Переваги та обмеження міжмережних екранів ...................................... |
58 |
|
6.2.2 Типи брандмауерів .................................................................................... |
58 |
|
6.3 |
Самостійна робота студента........................................................................ |
61 |
6.3.1 Запитання для самоперевірки................................................................... |
61 |
|
6.3.2 Матеріали для самостійного поглибленого вивчення теми.................. |
61 |
|
Тема 7. Системи попередження вторгнень ........................................................ |
62 |
|
7.1 |
Технології IDS та IPS ................................................................................... |
62 |
7.1.1 Моніторинг атак ........................................................................................ |
62 |
|
7.1.2 Виявлення і припинення атак................................................................... |
63 |
|
7.1.3 Характеристики IPS і IDS ......................................................................... |
64 |
|
7.2 |
IPS сигнатури ................................................................................................ |
65 |
7.2.1 Атрибути сигнатури .................................................................................. |
66 |
|
7.2.2 Типи сигнатур ............................................................................................ |
66 |
|
7.2.3 Файл сигнатур............................................................................................ |
67 |
|
7.3 |
Самостійна робота студента........................................................................ |
67 |
7.3.1 Запитання для самоперевірки................................................................... |
67 |
|
7.3.2 Матеріали для самостійного поглибленого вивчення теми.................. |
67 |
|
Тема 8. Безпека локальної мережі ....................................................................... |
68 |
|
8.1 |
Атака підробки MAC-адрес......................................................................... |
68 |
8.2 |
Атака переповнення таблиці MAC-адрес .................................................. |
69 |
8.3 |
Атаки STP маніпуляцій................................................................................ |
71 |
8.4 |
Атака LAN – шторм ..................................................................................... |
72 |
8.5 VLAN – атаки................................................................................................ |
73 |
|
8.6 |
Самостійна робота студента........................................................................ |
75 |
4
8.6.1 Запитання для самоперевірки................................................................... |
75 |
|
8.6.2 Матеріали для самостійного поглибленого вивчення теми.................. |
75 |
|
Тема 9. Криптографічні системи.......................................................................... |
76 |
|
9.1 Криптографічні сервіси................................................................................ |
76 |
|
9.1.1 Безпечні комунікації ................................................................................. |
76 |
|
9.1.2 Криптографія ............................................................................................. |
77 |
|
9.1.3 Криптоаналіз .............................................................................................. |
79 |
|
9.1.4 Криптологія ................................................................................................ |
80 |
|
9.2 Основи цілісності та аутентифікації........................................................... |
80 |
|
9.2.1 Криптографічні хеші ................................................................................. |
80 |
|
9.2.2 Перевірка справжності з НМАС .............................................................. |
81 |
|
9.2.3 Управління ключами................................................................................. |
82 |
|
9.2.3 Конфіденційність....................................................................................... |
84 |
|
9.3 Самостійна робота студента........................................................................ |
86 |
|
9.3.1 Запитання для самоперевірки................................................................... |
86 |
|
9.3.2 Матеріали для самостійного поглибленого вивчення теми.................. |
86 |
|
Тема 10. Віртуальні приватні мережі (VPN) ...................................................... |
87 |
|
10.1 |
Типи VPN .................................................................................................... |
88 |
10.2 |
Клієнти VPN................................................................................................ |
90 |
10.3 GRE VPN ..................................................................................................... |
91 |
|
10.4 |
IPsec VPN..................................................................................................... |
92 |
10.5 |
Самостійна робота студента...................................................................... |
94 |
10.5.1 Запитання для самоперевірки................................................................. |
94 |
|
10.3.2 Матеріали для самостійного поглибленого вивчення теми................ |
94 |
|
Тема 11. Методи керування безпекою корпоративної мережі ....................... |
95 |
|
11.1 |
Принципи безпечного дизайну мережі .................................................... |
95 |
11.1.1 Політика безпеки ..................................................................................... |
95 |
|
11.1.2 Ідентифікація загроз................................................................................ |
96 |
|
11.1.3 Аналіз ризиків в ІТ .................................................................................. |
97 |
|
11.1.4 Кількісний аналіз ризиків ....................................................................... |
98 |
|
11.1.5 Керування ризиками................................................................................ |
99 |
|
11.2 |
Експлуатаційна безпека ........................................................................... |
100 |
11.3 |
Планування безперервності бізнесу та аварійного відновлення ......... |
102 |
11.4 |
Життєвий цикл розробки системи (SDLC) ............................................ |
104 |
11.5 |
Розробка комплексної політики безпеки ............................................... |
106 |
11.5.1 Структура політики безпеки ................................................................ |
107 |
|
11.5.2 Документи політики безпеки ............................................................... |
108 |
|
11.6 |
Ролі та відповідальність........................................................................... |
109 |
11.7 |
Самостійна робота студента.................................................................... |
111 |
11.7.1 Запитання для самоперевірки............................................................... |
111 |
|
11.7.2 Матеріали для самостійного поглибленого вивчення ................... |
111 |
|
Лабораторний практикум ................................................................................... |
112 |
|
Лабораторна робота №1: Конфігурування Syslog, NTP, SSH на |
|
|
маршрутизаторі................................................................................................. |
112 |
|
5
Лабораторна робота №2: Конфігурування ААА аутентифікації на |
|
маршрутизаторі................................................................................................. |
113 |
Лабораторна робота №3: Конфігурування IP ACL для попередження атак |
|
............................................................................................................................ |
113 |
Лабораторна робота №4: Конфігурування брандмауера зонної політики |
|
(Zone-Based Policy Firewall)............................................................................. |
113 |
Лабораторна робота №5: Конфігурування системи попередження вторгнень |
|
IPS....................................................................................................................... |
113 |
Лабораторна робота №6: Налаштування безпеки Рівня 2 моделі OSI........ |
114 |
Лабораторна робота №7: Конфігурування VLAN безпеки Рівня 2 моделі |
|
OSI...................................................................................................................... |
114 |
Лабораторна робота №8: Конфігурування Site-to-Site IPsec VPN .............. |
114 |
Лабораторна робота №9: Базові налаштування Cisco ASA та налаштування |
|
брандмауера ...................................................................................................... |
114 |
Лабораторна робота №10: Відпрацювання комплексних практичних |
|
навичок з налаштування безпеки в Packet Tracer.......................................... |
115 |
Контрольна робота................................................................................................ |
116 |
Глосарій ................................................................................................................... |
119 |
Питання для підготовки до іспиту..................................................................... |
120 |
Література............................................................................................................... |
121 |
6
ВСТУП
Навчально-методичний посібник відображає матеріал для вивчення змістовних модулів дисципліни «Безпека програм та даних». Вивчення дисципліни «Безпека програм та даних» базується на знаннях та навичках, які були отримані студентами раніше, при вивченні курсу «Організація комп’ютерних мереж».
Посібник базується на матеріалах електронного курсу програми мережної академії Cisco CCNA Security v1.2 і призначений для полегшення сприйняття студентами цього англомовного курсу.
Упосібнику надається як теоретичний матеріал, так і матеріал для виконання лабораторних робіт, контрольної роботи. Теоретичний матеріал розділений на 11 тем і охоплює питання захисту периметра мережі, інфраструктурних пристроїв та кінцевих пристроїв. Приділяється увага захисту даних під час проходження публічною мережею, розглядаються можливі атаки на LAN та методи захисту від них. Виконання лабораторних робіт та контрольної роботи передбачається у середовищі Packet Tracer. В посібнику наведено перелік питань для підготовки до іспиту. Краще орієнтуватися у безлічі нових термінів допоможе глосарій. Для організації самостійної роботи студента передбачені питання для самостійного вивчення та проблеми, сформульовані для дослідження.
Уразі ретельного вивчення матеріалу та успішного виконання усіх видів робіт, які передбачені програмою мережної академії Cisco, студент отримає не тільки оцінку з дисципліни, але і сертифікат про успішне завершення навчання за курсом мережної академії Cisco CCNA Security v1.2.
7
ТЕМА 1. СУЧАСНІ ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЙНОЇ СИСТЕМИ. ФУНДАМЕНТАЛЬНІ ПРИНЦИПИ БЕЗПЕКИ
Вступ
Безпека сьогодні є невід'ємною частиною комп'ютерних мереж та інформаційних систем. Мережна безпека містить протоколи, технології, пристрої, інструменти і методи для захисту даних і попередження атак. Мережні рішення безпеки з'явилися в 1960-х роках, але тільки у 2000-х вони переросли у зрілі комплексні набори рішень для сучасних мереж.
Рушійною силою мережної безпеки є прагнення спеціалістів залишатися на крок попереду атак зловмисних хакерів. Фахівці з мережної безпеки намагаються запобігти потенційним атакам, мінімізувати втрати від атак, які відбуваються. Безперервність бізнесу є ще одним важливим рушійним фактором розвитку безпеки мереж.
Організації з питань мережної безпеки були створені, щоб організувати офіційні спільноти професіоналів мережної безпеки. Ці організації встановлюють стандарти, заохочують співпрацю і забезпечують професійний розвиток фахівців у галузі безпеки. Інформаційні ресурси цих організацій користуються попитом фахівців. Окрім того, організації створили домени, які поділяють складний світ мережної безпеки на більш керовані частини, що дозволяє фахівцям спеціалізуватися на певній галузі знань під час навчання, проведення досліджень та роботи.
Політики безпеки мережі створюються компаніями та державними організаціями, щоб забезпечити основу для правильної повсякденної поведінки співробітників. Створення та підтримка політики безпеки – задача керівного складу фахівців з мережної безпеки.
Мережні атаки класифікуються, за рахунок чого їх легше вивчати та попереджати. Віруси, хробаки та троянські коні - це конкретні види мережних атак. В цілому, мережні атаки класифікуються на атаки розвідки
(reconnaissance), доступу (access) і відмови в обслуговуванні (Denial of Service).
Попередження мережних атак - основна робота професіоналів з мережної безпеки. У цьому модулі вивчаються базові теоретичні аспекти мережної безпеки, які забезпечать необхідну підготовку перш ніж переходити до практичного вирішення проблем безпеки.
1.1 Еволюція мережної безпеки
У липні 2001 року хробак Code Red черв'як атакував веб-сервери по всьому світу, заразивши більше ніж 350 000 серверів. Він не тільки порушив доступ до заражених серверів, але також вплинув на хостинг, зробив сервери дуже повільними або непридатними для використання. Хробак Code Red викликав відмову в обслуговуванні (DoS) для мільйонів користувачів.
Мережна безпека має безпосереднє відношення до безперервності бізнесу організації. Порушення безпеки мережі може порушити електронну комерцію,
8
призвести до втрати бізнес-даних, загрожувати приватному життю людей, і порушити цілісність інформації. Ці порушення можуть призвести до втрати доходу корпорацій, крадіжки інтелектуальної власності, і відгукнуться позовами, а можуть навіть загрожувати громадській безпеці.
Підтримка безпеки мережі є запорукою безпеки користувачів мережі і захищає комерційні інтереси. Це вимагає пильності фахівців з мережної безпеки організації, вони мають постійно бути в курсі нових загроз і атак на мережі, вразливостей пристроїв і застосунків. Однак безпека мережі, в кінцевому рахунку - це відповідальність кожного, хто її використовує. Через це важливим завданням професіонала з мережної безпеки є підвищення обізнаності всіх користувачів щодо питань безпеки. Підтримання безпечної, захищеної мережі забезпечує більш стабільне робоче середовище для всіх.
В перші дні існування Інтернету комерційні інтереси були незначними. Переважна більшість користувачів були науковими дослідниками. Інтернет не застосовував заходів безпеки, оскільки перші користувачі практично не займалися діяльністю, яка могла завдати шкоди іншим користувачам.
Мережі стали засобом зв’язку між людьми та машинами через телекомунікаційне середовище. Робота мережних спеціалістів в основному стосувалася підключення нових пристроїв для поліпшення здатності користувачів передавати інформацію. Перші користувачі Інтернету не витрачати багато часу, думаючи про те, чи не становить їх діяльність в Інтернеті загрозу для мережі або для їх особистих даних.
Коли перші віруси були написані і відбулася перша атака DoS, світ почав змінюватися для мережних фахівців. Для задоволення потреб користувачів вони мали вивчити методи захисту мереж. Основна увага багатьох мережних фахівців перейшла від проектування, монтажу та розвитку мереж в площину організації безпеки вже існуючих мереж.
Сьогодні Інтернет дуже відрізняється від початкового варіанту 1960-х років. Все більше людей довіряють мережі свої особисті, фінансові та бізнеспотреби. Ця інформація має бути захищена. Однак, хоча сьогодні засоби для організації атак стають набагато більш складними, вони також більш автоматизовані. Це призводить до того, що реалізація атаки вимагає сьогодні від зловмисника менше технічних знань, ніж торік.
Професіонал у галузі мережної безпеки має забезпечити, щоб відповідний персонал добре знався на інструментах мережної безпеки, процесах, методах, протоколах та технологіях.
Еволюція засобів мережної безпеки
Тільки но мережна безпека стала невід'ємною частиною повсякденної діяльності, з’явилися пристрої, виділені спеціально для виконання функцій мережної безпеки.
Одним із перших засобів безпеки стала система виявлення вторгнень (IDS), вперше розроблена SRI International в 1984 році. IDS забезпечує виявлення в режимі реального часу певних типів атак. Це дозволило фахівцям з мереж-
9